Malware

Novas ameaças cibernéticas e ataques em cadeia expostas

Recentemente, um relatório da Flashpoint revelou que mais de 11 milhões de dispositivos foram infectados por infostealers, resultando na exposição de 3,3 bilhões de registros de identidade. Esses dados estão sendo comercializados em mercados ilícitos, com infostealers como Lumma e Vidar se destacando. Além disso, um novo trojan de acesso remoto (RAT) chamado SilabRAT, disponível por US$ 5.000 mensais, tem como foco o roubo de credenciais e é capaz de contornar medidas de segurança. A análise também aponta que hackers norte-coreanos são responsáveis por quase 50% das intrusões no setor de tecnologia, utilizando campanhas de infiltração para obter informações sensíveis. O Departamento de Justiça dos EUA apreendeu 13 domínios relacionados a uma suposta coleta de inteligência chinesa, destacando o uso de ofertas de emprego fraudulentas para obter dados confidenciais. Por fim, o Miasma Toolkit, um framework de ataque que permite a execução de ataques em cadeia, foi brevemente disponibilizado no GitHub, aumentando a preocupação com a segurança da cadeia de suprimentos. Essas ameaças evidenciam a sofisticação crescente dos ataques cibernéticos e a necessidade de vigilância constante.

Framework de ataque Miasma compromete ecossistemas de código aberto

O framework de ataque Miasma, que visa ecossistemas de código aberto por meio de ataques à cadeia de suprimentos, foi brevemente disponibilizado como código aberto no GitHub. Miasma é uma evolução do worm Shai-Hulud e compartilha características e técnicas semelhantes. O malware infecta máquinas de desenvolvedores, rouba credenciais de ambientes de construção e nuvem, e compromete repositórios legítimos, publicando versões trojanizadas que infectam outros desenvolvedores. Essa propagação autônoma pode transformar uma única violação em um ataque de cadeia de suprimentos em larga escala. O código-fonte do Miasma foi vazado através de contas de desenvolvedores comprometidas, indicando uma liberação intencional. O malware não requer infraestrutura de comando e controle, utilizando o GitHub para operar. Ele coleta credenciais de provedores de nuvem e sistemas CI/CD, comprometendo pacotes npm, PyPI e RubyGems. Uma característica notável é um ‘interruptor de segurança’ que apaga arquivos do usuário caso um token do GitHub seja revogado. A liberação do código do Miasma pode levar a variantes mais avançadas e aumentar a taxa de ataques, o que representa um risco significativo para a segurança do ecossistema de código aberto.

Resurgência da Botnet JDY Ameaça à Segurança Cibernética Global

Pesquisadores de cibersegurança alertam sobre a resurgência da botnet JDY, uma rede clandestina associada a atores de ameaças patrocinados pelo Estado chinês. Composta por mais de 1.500 dispositivos de pequenas empresas e IoT, a JDY atua como um scanner de alto desempenho, mapeando serviços expostos na internet. Inicialmente identificada como parte da KV-botnet em dezembro de 2023, a JDY evoluiu para uma rede independente após a desativação da KV-botnet pelo governo dos EUA em 2024. A botnet é utilizada para realizar reconhecimento direcionado e identificação de infraestruturas vulneráveis, especialmente após divulgações públicas de falhas. A diversidade dos dispositivos comprometidos, que agora inclui marcas como Ubiquiti e Linksys, permite que os operadores evitem detecções tradicionais. A arquitetura da JDY utiliza nós Tor para gerenciar a infraestrutura infectada, facilitando a coleta de dados de reconhecimento. O malware é projetado para se adaptar ao ambiente local, utilizando diferentes métodos de varredura dependendo das permissões disponíveis. A expansão da JDY e suas operações contínuas demonstram a resiliência das redes de reconhecimento modernas, que persistem mesmo após intervenções governamentais.

Microsoft remove repositórios do GitHub após ataque cibernético

Em 5 de junho, a Microsoft retirou 73 repositórios de suas organizações no GitHub, incluindo Azure e MicrosoftDocs, devido a preocupações com a distribuição de ‘conteúdo potencialmente malicioso’. O incidente, que durou apenas 105 segundos, foi resultado de uma campanha de ataque à cadeia de suprimentos chamada Miasma/Shai-Hulud. Pesquisadores confirmaram que o repositório ‘durabletask’ foi comprometido em maio, permitindo que o ator de ameaça retornasse com uma nova violação. Após a remoção, uma mensagem indicou que a ação foi tomada por violação dos termos de serviço do GitHub. O impacto imediato foi a desativação do acesso ao ‘Azure/functions-action’, uma ferramenta utilizada por desenvolvedores para implantar funções no Azure, causando interrupções em fluxos de trabalho. Embora todos os repositórios tenham sido restaurados e considerados seguros, a Microsoft notificou alguns clientes que podem ter baixado conteúdo dos repositórios afetados. A empresa continua a investigar o incidente, que também está ligado a uma campanha que comprometeu pacotes npm da Red Hat. Especialistas recomendam que desenvolvedores adotem medidas de segurança, como bloqueio de dependências de projetos e testes em ambientes isolados.

Pesquisadores desenvolvem verme de computador autônomo com IA

Pesquisadores da Universidade de Toronto criaram um verme de computador autônomo que utiliza um modelo de linguagem de código aberto para navegar por redes, gerar estratégias de ataque personalizadas e se replicar sem intervenção humana. O estudo, que está em revisão por pares, revela que a abordagem tradicional de correção de vulnerabilidades (CVE) falha quando o malware pode inspecionar serviços expostos e gerar novos caminhos de ataque em tempo real. Em testes realizados em uma rede vulnerável de 33 hosts, o verme identificou em média 31,3 vulnerabilidades e obteve acesso elevado em 23,1 hosts, replicando-se em 62% deles ao longo de sete dias. Diferente dos vermes tradicionais, que dependem de cargas de exploração fixas, este verme gera lógica de ataque em tempo real, adaptando-se a cada alvo encontrado. O estudo destaca a dificuldade de contenção, uma vez que o custo de execução do ataque é transferido para a infraestrutura comprometida, e não há dependência de APIs comerciais que poderiam ser limitadas ou revogadas. Os pesquisadores também observaram que o verme reescreveu seu próprio código para contornar controles de segurança locais, o que representa um avanço significativo nas capacidades de malware autônomo.

Campanhas de ciberataques da Rússia exploram falha no WinRAR

Duas campanhas de ciberataques alinhadas à Rússia continuam a explorar uma vulnerabilidade no WinRAR para atacar organizações ucranianas, quase um ano após a liberação de patches para a falha. A Trend Micro atribui essas atividades aos grupos Earth Dahu e SHADOW-EARTH-066, que utilizam a falha CVE-2025-8088, uma vulnerabilidade de travessia de caminho que permite que atacantes escrevam arquivos fora do diretório de extração. O exploit mais recente envolve arquivos RAR manipulados que contêm um documento PDF de isca e três cargas úteis ocultas. Uma das cargas é um arquivo de atalho do Windows que é executado automaticamente na inicialização do sistema, permitindo que um loader PowerShell seja ativado. O malware resultante, chamado GIFTEDCROOK, visa roubar senhas e cookies de navegadores populares, além de documentos específicos do sistema da vítima. A mudança no canal de exfiltração de dados, que passou do Telegram para servidores dedicados de comando e controle, reflete a adaptação dos grupos de ataque às novas restrições. A Earth Dahu, por sua vez, tem utilizado a vulnerabilidade para manter acesso a longo prazo em organizações comprometidas, utilizando uma cadeia de infecção que envolve scripts VBScript. A prevalência do WinRAR em operações diárias torna essa vulnerabilidade um alvo atraente para exploração, destacando a gravidade das ameaças cibernéticas enfrentadas pela Ucrânia.

Microsoft remove repositórios do GitHub após comprometimento de projetos

A Microsoft confirmou a remoção temporária de alguns repositórios do GitHub devido a um incidente de segurança que comprometeu 73 de seus projetos de código aberto. O ataque, parte de uma campanha de cadeia de suprimentos de software chamada Miasma, resultou na injeção de um ladrão de informações no código. A empresa notificou um número restrito de clientes que podem ter baixado conteúdo dos repositórios afetados e está investigando o incidente. Entre os projetos comprometidos está o pacote Python ‘durabletask’, que foi inicialmente atacado por um grupo de cibercrime conhecido como TeamPCP. A análise do payload Miasma revelou que ele pode executar código automaticamente quando um desenvolvedor abre o repositório em ferramentas de codificação baseadas em inteligência artificial. Essa campanha de ataque tem se mostrado adaptável, utilizando novos métodos de entrega de payloads, como extensões nativas Trojanizadas e variantes de carregadores que dificultam a detecção. O malware tem como alvo estações de trabalho de desenvolvedores e ambientes CI/CD, coletando segredos valiosos e exfiltrando-os para repositórios públicos do GitHub. A situação destaca a crescente complexidade e os riscos associados à segurança de software na cadeia de suprimentos.

Campanha Hades ataca repositórios do PyPI com malware

A campanha de ataque à cadeia de suprimentos conhecida como Hades, originada da Miasma, identificou 37 artefatos maliciosos em 19 pacotes do Python Package Index (PyPI). Esses pacotes comprometidos incluem versões de bibliotecas como bramin, cmd2func e coolbox, que contêm um arquivo *-setup.pth. Este arquivo é executado automaticamente durante a inicialização do Python, permitindo que o malware baixe e execute um runtime JavaScript chamado Bun, além de um payload ofuscado. O malware é projetado para roubar credenciais de desenvolvedores e informações sensíveis de sistemas, incluindo segredos de plataformas como GitHub, AWS e Docker. A nova abordagem do Hades inclui técnicas de evasão de segurança, como a injeção de prompts em ferramentas de análise de pacotes baseadas em IA, e a extração de dados de repositórios do GitHub. A campanha representa uma evolução nas táticas de ataque, utilizando métodos que não requerem a importação do pacote comprometido, aumentando o risco para desenvolvedores e suas organizações. A segurança da cadeia de suprimentos de software é, portanto, uma preocupação crescente, especialmente em um cenário onde as contas de desenvolvedores podem ser comprometidas e usadas para disseminar malware.

Hackers comprometem pacotes do PyPI em ataque à cadeia de suprimentos

Um novo ataque à cadeia de suprimentos, denominado Shai-Hulud, comprometeu 19 pacotes populares do PyPI, que foram baixados centenas de milhares de vezes. Entre os pacotes afetados estão ferramentas de bioinformática como Dynamo e Napari-UFISH. A empresa de segurança Socket identificou 37 versões maliciosas que incluíam um arquivo ‘*-setup.pth’ e um payload JavaScript ofuscado chamado ‘_index.js’. Ao iniciar o Python, o arquivo PTH é executado, o que pode levar ao download do runtime JavaScript Bun do GitHub para executar o script malicioso. O ataque visa roubar segredos de desenvolvedores, incluindo tokens do GitHub, credenciais de serviços em nuvem e históricos de shell. A exfiltração de dados é realizada através de repositórios do GitHub e uma API da Anthropic, que serve como camuflagem. A Socket recomenda que as organizações afetadas rotacionem suas credenciais e restauram seus ambientes a partir de backups seguros. Os defensores devem estar atentos a pacotes Python com hooks executáveis e downloads inesperados do Bun.

Novas variantes do malware NFCShare atacam aplicativos bancários

Novas variantes do malware NFCShare estão sendo distribuídas como falsas atualizações de aplicativos bancários legítimos, hospedadas no GitHub. Este malware evoluiu e agora visa clientes de diversos bancos e instituições financeiras na Europa, em uma campanha de phishing destinada a roubar dados de cartões de pagamento. Após enganar as vítimas com uma tela de verificação falsa, o NFCShare utiliza o chip de comunicação por proximidade (NFC) do dispositivo móvel para ler informações do cartão, como número, tipo, data de validade e um PIN de 4 dígitos inserido pela vítima. Esses dados são enviados para o servidor de comando e controle do atacante via canal WebSocket. Desde sua criação, o repositório do GitHub que distribui o NFCShare já hospedou 56 APKs únicos que imitam aplicativos de bancos, principalmente da Itália e da Espanha. Os pesquisadores alertam que usuários de Android devem baixar aplicativos bancários apenas do Google Play e ter cautela com solicitações de verificação que pedem a digitalização de cartões NFC.

Grupo de ciberespionagem ligado à China utiliza malware em sistemas Linux

Um grupo de ciberespionagem com vínculos à China, identificado como VerdantBamboo, foi observado utilizando uma variante BSD de um backdoor conhecido como BRICKSTORM, além de outras famílias de malware chamadas PLENET (também conhecida como GRIMBOLT) e AGENTPSD, para atacar sistemas Linux. A Volexity, empresa de cibersegurança, atribuiu essas atividades a um cluster de ameaças que se sobrepõe a grupos de hackers como Clay Typhoon e UNC5221. A intrusão foi descoberta em setembro de 2025, quando a Volexity identificou que o adversário havia comprometido o sistema Egnyte Storage Sync de uma vítima, explorando uma falha de escalonamento de privilégios. Após a correção da vulnerabilidade em março de 2026, o grupo conseguiu retornar, utilizando credenciais administrativas roubadas para acessar o firewall da organização e implantar malware em um dispositivo NAS Synology. O PLENET é um backdoor multiplataforma desenvolvido em .NET Core, enquanto o AGENTPSD é um shell reverso baseado em Python. A Volexity alerta que o VerdantBamboo demonstra um alto nível de sofisticação e conhecimento sobre dispositivos proprietários, permitindo a implementação de mecanismos de persistência personalizados.

Ataque à Cadeia de Suprimentos Afeta Repositórios do GitHub da Microsoft

Recentemente, 73 repositórios do GitHub da Microsoft, incluindo aqueles relacionados ao Azure e MicrosoftDocs, foram comprometidos por uma campanha de ataque à cadeia de suprimentos chamada Miasma. O GitHub desativou o acesso a esses repositórios após a violação das suas políticas de serviço. O ataque é uma variante do worm Mini Shai-Hulud, que se aproveita do modelo de confiança das plataformas de código aberto, explorando a suposição de que pacotes assinados por mantenedores autenticados são seguros. O ataque se destaca por sua capacidade de se propagar rapidamente, comprometendo usuários downstream e repetindo o ciclo de infecção. O vetor de ataque inclui a injeção de código malicioso em repositórios legítimos, que é ativado quando um desenvolvedor clona e abre o repositório em ferramentas de codificação. Este incidente evidencia as vulnerabilidades nas cadeias de suprimentos de software e a necessidade de uma vigilância contínua e de medidas de segurança robustas.

Grupo de espionagem chinês UNC5221 compromete ambientes Microsoft 365

O grupo de espionagem chinês UNC5221, também conhecido como VerdantBamboo, tem explorado ambientes Microsoft 365 utilizando a backdoor Brickstorm e malwares não documentados, como Plenet e AgentPSD. A investigação revelou que os atacantes conseguiram acesso à rede da vítima por pelo menos 18 meses antes de serem detectados, comprometendo também o provedor de serviços gerenciados (MSP) da organização alvo. O Brickstorm, descrito como um implante de malware avançado, foi utilizado de forma indetectável em várias organizações nos Estados Unidos até a descoberta das brechas em março de 2025. Os pesquisadores da Volexity identificaram que os hackers acessaram um sistema de armazenamento Egnyte e, a partir daí, conseguiram entrar no ambiente Microsoft 365 da vítima, utilizando técnicas para se misturar ao tráfego legítimo e evitar políticas de acesso condicional. Após a remediação inicial, os atacantes conseguiram invadir a organização novamente, utilizando credenciais roubadas para configurar o acesso VPN e implantar malware adicional. O Plenet, um backdoor baseado em .NET, e o AgentPSD, uma ferramenta de shell reverso em Python, foram utilizados como mecanismos de persistência. A CISA emitiu alertas sobre a utilização do Brickstorm por hackers chineses, destacando a necessidade de atenção redobrada para a segurança em ambientes que não suportam soluções de detecção e resposta de endpoint (EDR).

Ataques à cadeia de suprimentos de software afetam o ecossistema npm

Recentes ataques à cadeia de suprimentos de software têm impactado o ecossistema npm, com criminosos utilizando versões maliciosas de mais de 50 pacotes legítimos para disseminar um ladrão de informações baseado em Rust e um worm auto-replicante. O ladrão de informações, denominado IronWorm, é capaz de coletar segredos de máquinas de desenvolvedores e se esconde atrás de um rootkit de kernel eBPF, comunicando-se com seu operador via Tor. O malware foi publicado no registro npm por uma conta comprometida chamada ‘asteroiddao’, que introduziu versões de pacotes contendo um binário Rust executado por um hook de pré-instalação. O IronWorm visa variáveis de ambiente e arquivos que podem conter credenciais de serviços populares como AWS, Docker e GitHub, e possui lógica para evitar roubar dados da própria carteira do atacante. Além disso, uma nova variante do worm Miasma foi identificada, comprometendo 57 pacotes npm com 286 versões maliciosas. Essa variante utiliza um arquivo binding.gyp para executar código durante a instalação, contornando verificações de segurança. Os desenvolvedores afetados são aconselhados a rotacionar credenciais e desativar scripts de instalação por padrão.

Fraudes relacionadas à FIFA ameaçam fãs da Copa do Mundo 2026

Pesquisadores de segurança e o FBI alertam sobre uma onda de fraudes temáticas da FIFA que já está afetando os fãs da Copa do Mundo 2026, dias antes do início do torneio. Com mais de seis milhões de torcedores esperados e uma demanda de ingressos que supera em 30 vezes a oferta, os golpistas estão aproveitando a ansiedade dos fãs. O grupo GHOST STADIUM, por exemplo, registrou mais de 4.300 domínios fraudulentos, com páginas de login quase idênticas ao site oficial da FIFA, que coletam informações pessoais e podem revender ingressos. Além disso, aplicativos de streaming pirata estão sendo utilizados para disseminar malware bancário, comprometendo dispositivos móveis. As fraudes incluem também sites falsos de produtos, apostas e até e-mails de loteria prometendo prêmios. O FBI e outras entidades estão monitorando a situação, mas a quantidade de domínios fraudulentos ainda ativos é alarmante, com estimativas de perdas que podem chegar a bilhões de dólares. Os fãs devem ser cautelosos e comprar apenas através de canais oficiais.

Novo ataque à cadeia de suprimentos compromete pacotes do npm

Um novo ataque à cadeia de suprimentos afetou 36 pacotes no Node Package Manager (npm), introduzindo um malware infostealer chamado IronWorm. Este malware, escrito em Rust, visa 86 variáveis de ambiente e 20 arquivos de credenciais, que podem conter informações sensíveis como credenciais da OpenAI, AWS, Anthropic e npm, além de chaves SSH e arquivos de carteiras de criptomoedas. A pesquisa da JFrog revelou que o IronWorm se propaga utilizando credenciais roubadas para publicar pacotes no npm, comprometendo ambientes de desenvolvedores e sistemas de integração contínua (CI). O ataque começou a partir de uma conta comprometida chamada ‘asteroiddao’, que publicou versões maliciosas de pacotes. O malware utiliza um rootkit e se comunica com o operador via rede Tor, além de empregar um mecanismo que utiliza GitHub Actions para entregar segredos roubados. Embora o ataque tenha sido detectado rapidamente, a situação destaca a necessidade de os desenvolvedores atualizarem suas versões de pacotes e implementarem autenticação de dois fatores (2FA). O incidente é um lembrete da vulnerabilidade das cadeias de suprimentos e da importância de medidas de segurança robustas.

Ameaças cibernéticas em ascensão vulnerabilidades e operações de espionagem

O cenário de cibersegurança continua a apresentar desafios significativos, com a recente divulgação de uma vulnerabilidade crítica no Cisco Unified Communications Manager (CVE-2026-20230), que permite ataques de Server-Side Request Forgery (SSRF) por atacantes remotos não autenticados. A Cisco já lançou patches para mitigar essa falha, que pode permitir a execução de comandos maliciosos no sistema operacional subjacente. Além disso, a Rússia revelou uma operação em larga escala de espionagem, onde serviços de inteligência estrangeiros implantaram spyware em dispositivos móveis de altos oficiais, visando a exfiltração de dados sensíveis.

Ataque de espionagem cibernética compromete caixa de e-mail de executivo

Um ataque cibernético sofisticado comprometeu a caixa de entrada de um executivo sênior de uma importante bolsa de valores global, permitindo que invasores acessassem informações sensíveis por pelo menos cinco meses. De acordo com um relatório da equipe de ameaças da Symantec e Carbon Black, os atacantes utilizaram técnicas de exfiltração disfarçadas, enviando dados por meio de serviços de nuvem como Dropbox e OneDrive, o que dificultou a detecção. A operação começou em outubro de 2025, quando os invasores instalaram dois binários maliciosos que imitavam atualizações do Adobe e do OneDrive. A partir de novembro, eles começaram a extrair dados da caixa de entrada, utilizando uma ferramenta construída com a biblioteca legítima Aspose para converter arquivos OST e PST do Outlook. O ataque foi caracterizado por acessos discretos e programados, evitando chamar a atenção de softwares de segurança. A falta de um CVE específico e a utilização de ferramentas públicas dificultam a atribuição do ataque a um grupo conhecido, mas a natureza da intrusão sugere um foco em espionagem, não em roubo financeiro. O relatório alerta que instituições financeiras e reguladoras devem monitorar atividades incomuns em caixas de entrada e uploads para contas pessoais de nuvem.

Operação de malware disfarçada de projetos open-source é descoberta

Pesquisadores de cibersegurança identificaram uma operação em larga escala que se disfarça de projetos de código aberto e freeware para redirecionar usuários desavisados a um Sistema de Distribuição de Tráfego (TDS) e entregar famílias de malware, como Remus Stealer, AnimateClipper e o framework SessionGate. Os sites envolvidos são bem projetados e imitam portais legítimos, utilizando uma camada de JavaScript hospedada no CloudFront que transforma cliques em downloads em redirecionamentos para o TDS. Essa operação visa aquisição e monetização de tráfego, levando usuários a uma infraestrutura de entrega de malware. Os ataques visam especificamente usuários que buscam ferramentas de segurança em motores de busca, como o Google, fazendo com que esses sites falsos apareçam no topo dos resultados. A análise de telemetria do VirusTotal revelou entre 2.000 a 3.500 submissões de amostras associadas à família SessionGate, com a maioria das submissões originárias de países como Turquia, Polônia, Brasil e Alemanha. O objetivo final da infecção é entregar um payload único por cliente, dificultando a análise e a recuperação do payload. Essa situação representa um risco significativo para usuários que buscam ferramentas de segurança, especialmente no Brasil, onde a popularidade de tais ferramentas pode ser explorada por cibercriminosos.

Grupo de cibercrime TA4922 vinculado à China ataca organizações europeias

O grupo de cibercrime TA4922, associado à China, tem ampliado seu foco de ataque para organizações na Europa, especialmente no Reino Unido, Alemanha, Itália e África do Sul. De acordo com a empresa de segurança Proofpoint, o grupo é caracterizado por um ‘ritmo operacional rápido’ e um arsenal de malware em constante evolução, incluindo ferramentas conhecidas como ValleyRAT e Atlas RAT, além de novos malwares como RomulusLoader e SilentRunLoader. A motivação financeira do grupo é evidente, com o objetivo de obter acesso remoto a ambientes de vítimas para roubo de dados, fraudes e revenda de acessos. Recentemente, as campanhas de phishing têm utilizado iscas relacionadas a recursos humanos e negócios, além de tentativas de mover conversas para canais de comunicação fora do e-mail, como LINE e WhatsApp, para contornar controles de segurança. As campanhas observadas incluem ataques direcionados a organizações no Japão e no Reino Unido, utilizando técnicas como DLL side-loading para entregar malwares. A natureza global das operações do TA4922 destaca a necessidade de as organizações estarem atentas a ameaças emergentes, independentemente da localização geográfica.

Grupo de cibercrime chinês expande ataques para a Europa

Um grupo de cibercrime de língua chinesa, identificado como TA4922, está ampliando suas operações para a Europa, utilizando malware não documentado e a backdoor Atlas. Este grupo, que anteriormente focava em organizações na Ásia Oriental, agora está atacando entidades na Alemanha, Itália, Reino Unido e África do Sul. Os pesquisadores da Proofpoint destacam que TA4922 é motivado financeiramente e realiza campanhas de phishing localizadas, disfarçadas como comunicados de folha de pagamento, auditorias fiscais e notificações de conformidade governamental. O malware Atlas RAT, uma das principais ferramentas do grupo, permite reconhecimento do sistema, roubo de arquivos, captura de tela e gravação de áudio e vídeo. Além disso, o grupo utiliza loaders personalizados, como o RomulusLoader, que executa ferramentas de gerenciamento remoto. A atividade do TA4922 aumentou significativamente desde março, com uma diversidade operacional sem precedentes. A Proofpoint alerta que, embora o foco principal seja financeiro, as capacidades do malware podem ser utilizadas para vigilância, o que representa um risco adicional. O relatório inclui indicadores de comprometimento e infraestrutura de comando e controle utilizados nas operações do grupo.

Campanha de malspam usa domínio do Google para distribuir RAT

Pesquisadores de cibersegurança identificaram uma nova campanha de malspam que utiliza o domínio DoubleClick do Google para evitar detecções e entregar um trojan de acesso remoto (RAT) chamado DesckVB RAT. Segundo os especialistas da Huntress, a estratégia envolve redirecionar usuários através de uma URL legítima do Google, tornando a abordagem mais difícil de ser detectada por ferramentas de segurança.

O ataque começa quando a vítima abre um arquivo HTML anexado a um e-mail de phishing, que redireciona para uma página maliciosa. A partir daí, um botão de ‘Download PDF’ inicia o download de um arquivo ZIP que contém um loader em JavaScript. Este loader é responsável por executar o RAT, neutralizando controles de segurança e estabelecendo persistência no sistema.

Campanha de malware WeedHack ataca jogadores de Minecraft

Uma nova campanha de malware chamada WeedHack está afetando jogadores de Minecraft, com mais de 116 mil sistemas infectados desde janeiro. O malware é distribuído por meio de mods, clientes e cheats maliciosos relacionados ao jogo, promovidos principalmente em vídeos do YouTube e por meio de técnicas de SEO. A operação, que funciona como um serviço de malware (MaaS), permite que os clientes acessem um painel onde podem visualizar credenciais roubadas e informações sobre sistemas comprometidos. Dados da McAfee indicam que a maioria das vítimas está nos Estados Unidos, Alemanha, Índia e Reino Unido. A WeedHack utiliza mais de 240 URLs de distribuição e 3.820 arquivos JAR maliciosos únicos. Os atacantes criam uma falsa sensação de legitimidade ao vincular sites maliciosos a repositórios oficiais do GitHub. O malware é acessível gratuitamente, com uma opção premium que oferece funcionalidades adicionais, como controle remoto e captura de tela. Especialistas recomendam que os jogadores confiem apenas em mods de fontes oficiais e verifiquem os links de download para evitar infecções.

Campanha de Malware Alvo de Jogadores de Minecraft pelo YouTube

Pesquisadores de cibersegurança identificaram uma nova campanha de malware, chamada Weedhack, que visa jogadores de Minecraft através do YouTube. Desde janeiro de 2026, essa campanha tem utilizado técnicas de SEO poisoning para direcionar usuários a URLs maliciosas que distribuem arquivos JAR infectados. Até o momento, foram encontrados 3.820 arquivos JAR maliciosos e mais de 240 URLs associadas. O malware se disfarça como clientes e mods do Minecraft, permitindo que os atacantes controlem remotamente os sistemas das vítimas. A campanha é facilitada por um painel de controle que permite aos criminosos visualizar credenciais roubadas e informações do sistema. Os atacantes também utilizam um canal no Telegram para promover suas ferramentas e oferecer suporte. O malware pode roubar informações sensíveis, como IDs de sessão do Minecraft e credenciais de diversas plataformas. Além disso, a campanha tem gerado casos de cyberbullying, onde os atacantes ameaçam e monitoram suas vítimas. A maioria das infecções foi registrada nos EUA, seguida por países como Alemanha, Índia e Reino Unido.

Campanha de malware WeedHack atinge jogadores de Minecraft

Uma campanha de malware em larga escala, conhecida como WeedHack, está atacando jogadores de Minecraft e já infectou mais de 116 mil sistemas desde janeiro. O malware é distribuído por meio de mods, clientes e cheats maliciosos relacionados ao jogo, promovidos principalmente no YouTube e por meio de técnicas de SEO. A operação funciona como um serviço de malware (MaaS), permitindo que os usuários acessem um painel onde podem visualizar credenciais roubadas e informações de sistemas comprometidos. Dados da McAfee indicam que a maioria das vítimas está nos Estados Unidos, Alemanha, Índia e Reino Unido, com uma média de 2.000 a 3.000 novas infecções diariamente. A campanha utiliza mais de 240 URLs de distribuição e 3.820 arquivos JAR maliciosos únicos. Os atacantes criam uma falsa legitimidade ao vincular sites maliciosos a repositórios legítimos do GitHub. O WeedHack oferece uma camada gratuita que rouba IDs de sessão do Minecraft, cookies e senhas, além de uma versão premium com funcionalidades adicionais. Jogadores são aconselhados a confiar apenas em mods de fontes oficiais e a verificar links de download para evitar infecções.

Grupo de hackers russo Gamaredon explora vulnerabilidade do WinRAR

O grupo de hackers russo Gamaredon está explorando uma vulnerabilidade no WinRAR, identificada como CVE-2025-8088, para disseminar diversas famílias de malware voltadas para o roubo de dados. A empresa de cibersegurança Sekoia observou que, desde janeiro de 2026, o grupo utiliza um payload de Aplicação HTML chamado GammaPhish, que serve para baixar um script em Visual Basic (VBScript) conhecido como GammaLoad. Este último, por sua vez, é responsável por implantar um worm chamado GammaWorm, que se infiltra em sistemas, oculta diretórios legítimos e substitui-os por arquivos de atalho maliciosos, permitindo a execução de código arbitrário. O GammaWorm se comunica com um canal público do Telegram para evitar detecções e garantir operações de espionagem a longo prazo. Além disso, uma família de malware chamada GammaSteel é utilizada para roubar informações e enviar dados para servidores controlados pelos atacantes. O Gamaredon, vinculado ao Serviço Federal de Segurança da Rússia (FSB), tem um histórico de ataques direcionados à Ucrânia, utilizando e-mails de spear-phishing com anexos maliciosos. A arquitetura modular e adaptável do malware sugere que ele pode ser reutilizado em futuras campanhas.

Grupo SideCopy realiza campanha de phishing contra o governo afegão

Pesquisadores de cibersegurança revelaram uma campanha de spear-phishing, atribuída ao grupo SideCopy, alinhado ao Paquistão, que visa o Ministério das Finanças do Afeganistão. A operação, chamada de XENOFISCAL, utiliza um trojan de acesso remoto chamado Xeno RAT, disfarçado em um arquivo ZIP que contém um arquivo LNK com um nome em pashto, a língua predominante no governo afegão. Além do Ministério, a campanha também atinge direções provinciais de finanças e funcionários do governo que falam pashto, evidenciando o conhecimento do atacante sobre o ambiente alvo. O Xeno RAT, uma ferramenta poderosa, permite ao invasor executar uma variedade de ações, como capturar teclas, tirar capturas de tela e monitorar dispositivos de áudio e vídeo. A campanha é uma continuação de atividades maliciosas mais amplas direcionadas a entidades da Ásia do Sul, com o SideCopy já tendo sido associado a ataques anteriores na Índia. A execução do malware envolve a utilização de um arquivo de atalho do Windows que, ao ser ativado, baixa um aplicativo HTML remoto, levando à execução de um JavaScript ofuscado. Este cenário destaca a crescente sofisticação das ameaças cibernéticas na região e a necessidade de vigilância constante por parte das entidades governamentais e corporativas.

Pacotes npm da Red Hat comprometidos em ataque à cadeia de suprimentos

Mais de 30 pacotes npm sob o namespace ‘@redhat-cloud-services’ da Red Hat foram comprometidos em um ataque à cadeia de suprimentos, que distribuiu uma nova variante do malware Shai-Hulud, chamada ‘Miasma’. A descoberta foi feita pelas empresas de segurança Aikido e OX Security, que identificaram versões de pacotes com backdoors projetados para roubar credenciais de desenvolvedores, segredos de nuvem, chaves SSH, tokens de CI/CD e outras informações sensíveis. Os pacotes comprometidos recebiam cerca de 117.000 downloads semanais. A Red Hat afirmou que removeu os pacotes afetados assim que tomou conhecimento do incidente e que a violação estava restrita a ferramentas de desenvolvimento internas. A investigação ainda está em andamento, mas até o momento não foram identificados impactos em ambientes de clientes ou sistemas de produção da Red Hat. O ataque foi realizado através da conta do GitHub de um funcionário da Red Hat, onde os invasores inseriram commits maliciosos que abusaram do mecanismo de publicação do npm. Os pacotes comprometidos continham um script ‘preinstall’ que executava um arquivo malicioso para roubar credenciais de serviços como AWS, Google Cloud e Azure. A situação é preocupante, pois 32 pacotes e 96 versões foram afetados, e organizações que instalaram versões comprometidas devem rotacionar imediatamente todas as credenciais e segredos utilizados.

Grupo DriveSurge realiza campanhas de malware em larga escala

O grupo de cibercriminosos conhecido como DriveSurge tem promovido campanhas de distribuição de malware em larga escala, utilizando técnicas como ClickFix e FakeUpdates em sites comprometidos. Pesquisadores da empresa de cibersegurança SilentPush relataram que milhares de sites foram afetados, redirecionando visitantes para infraestruturas de entrega de malware. A técnica ClickFix engana as vítimas, levando-as a executar comandos maliciosos sob a falsa promessa de resolver problemas técnicos. Já os ataques FakeUpdates simulam atualizações de software, como navegadores, para induzir os usuários a baixar e instalar cargas maliciosas. O DriveSurge atua como um corretor de acesso inicial (IAB) em um modelo de pagamento por instalação (PPI), facilitando ataques subsequentes. Os visitantes dos sites comprometidos são redirecionados por um sistema de distribuição de tráfego (TDS) chamado zTDS, que classifica os usuários e decide qual isca utilizar. O relatório destaca um caso em que uma atualização falsa do Firefox resultou no download de um arquivo ZIP contendo executáveis maliciosos. Os pesquisadores identificaram várias assinaturas técnicas associadas à campanha, incluindo injeções de JavaScript e domínios maliciosos. Recomenda-se que os usuários atualizem seus navegadores apenas por meio dos menus de configuração e evitem executar comandos desconhecidos.

Cerca de 2.000 sites WordPress infectados com malware via Steam

Cerca de 1.980 sites WordPress foram comprometidos por um malware que utiliza comentários de perfis da Steam Community para ocultar dados de comando e controle (C2). Os atacantes empregaram caracteres Unicode invisíveis para codificar um payload que gera uma URL para um script malicioso. Essa técnica permite que os hackers evitem a manutenção de uma infraestrutura C2 separada e contornem métodos tradicionais de detecção. A infecção inicial pode ter ocorrido por meio de logins de administrador roubados, credenciais FTP/SFTP comprometidas ou exploração de temas e plugins vulneráveis. O malware, uma vez instalado, utiliza carregamentos de páginas do WordPress para acessar perfis da Steam e extrair texto que, embora pareça benigno, contém caracteres invisíveis que disfarçam cargas maliciosas. O payload decodificado leva a um URL que injeta código JavaScript em todas as páginas do WordPress. Os pesquisadores da GoDaddy alertam que a defesa deve incluir a verificação de URLs da Steam, injeções de JavaScript suspeitas e conexões inesperadas. A restauração a partir de um backup conhecido é a ação recomendada para mitigar os danos.

Campanha de ataque à cadeia de suprimentos compromete pacotes do Red Hat

Uma nova campanha de ataque à cadeia de suprimentos, chamada Miasma, comprometeu pacotes do @redhat-cloud-services, visando roubar credenciais e segredos de máquinas de desenvolvedores, além de entregar um worm autorreplicante. O ataque utiliza táticas conhecidas de execução no momento da instalação, coleta de credenciais e exfiltração criptografada. Os pacotes afetados incluem vulnerabilidades-client, topological-inventory-client e outros. A análise de segurança revelou que os pacotes npm contêm um hook pré-instalado ofuscado, projetado para coletar segredos do GitHub, tokens npm, credenciais de nuvem e chaves SSH. O malware também possui lógica de exfiltração criptografada, transmitindo dados para um endpoint específico e utilizando o GitHub como mecanismo de fallback. Além disso, foi observado que o malware evita a execução em sistemas de língua russa. Acredita-se que a conta do GitHub de um funcionário da Red Hat tenha sido a porta de entrada para injetar o payload malicioso. Recomenda-se isolar os hosts afetados, remover as versões comprometidas e revisar atividades suspeitas no GitHub e npm. A desinstalação do pacote npm não é suficiente para a limpeza, devido à persistência do malware em ferramentas de desenvolvimento.

Campanha de espionagem cibernética mira República Tcheca e Taiwan

Uma nova campanha de espionagem cibernética, denominada Operação Dragon Weave, foi identificada como alvo de oficiais e cidadãos na República Tcheca e em Taiwan. A Seqrite Labs relatou que os alvos incluem setores governamentais, de pesquisa, acadêmicos, tecnológicos e serviços financeiros. A campanha utiliza e-mails de spear-phishing com anexos ZIP para iniciar uma cadeia de infecção que emprega um carregador em Rust, resultando na exfiltração de dados e controle remoto. Ao extrair o arquivo ZIP, múltiplos arquivos que aparentam ser legítimos são ativados, mas fazem parte de uma cadeia de infecção estruturada. O ataque pode ser iniciado por um arquivo de atalho malicioso que simula um documento PDF ou diretamente por um binário que atua como um dropper. O malware final, um agente AdaptixC2, se comunica com o armazenamento em nuvem da Microsoft Azure, utilizando um modelo de ‘dead drop’ para troca de dados, evitando comunicação direta. O AdaptixC2 permite uma ampla gama de ações pós-comprometimento, dando ao atacante controle total sobre o endpoint comprometido. A atividade foi atribuída a um grupo de ameaças alinhado à China, que permanece ativo globalmente, com outras operações sendo relatadas em diferentes regiões.

Autoridades holandesas desmantelam botnet com milhões de dispositivos

As autoridades da Holanda anunciaram a desativação de uma botnet que controlava milhões de dispositivos infectados, incluindo computadores, tablets, smartphones e dispositivos IoT. A operação, realizada pela Polícia Holandesa e pelo Centro Nacional de Segurança Cibernética (NCSC), revelou que a rede bot consistia em pelo menos 17 milhões de dispositivos comprometidos, com mais de 200 servidores na Holanda servindo como infraestrutura de backend. Embora o nome da botnet não tenha sido explicitamente divulgado, fontes locais indicam que a Asocks, uma empresa que oferece proxies residenciais, estava envolvida. Em abril de 2024, a equipe de inteligência de ameaças da HUMAN identificou uma campanha chamada PROXYLIB, que utilizava dispositivos Android infectados com software de proxy da LumiApps e Asocks. A NCSC alertou que dispositivos podem ser incorporados a uma botnet quando acessíveis a atacantes, que podem instalar malware para controle remoto. Para mitigar esses riscos, recomenda-se manter sistemas operacionais atualizados, usar senhas fortes e habilitar autenticação de dois fatores. Essa situação destaca a necessidade de vigilância constante e práticas de segurança robustas para proteger dispositivos conectados à internet.

Atores de ameaça abusam do ChatGPT para espalhar malware

Recentemente, um novo ataque cibernético foi identificado, onde atores maliciosos estão explorando a funcionalidade de compartilhamento de conteúdo do ChatGPT para criar páginas falsas de indisponibilidade da OpenAI. Essa campanha, chamada ‘LLMShare’, foi descoberta pela Push Security e utiliza anúncios do Google para direcionar usuários que buscam pelo ChatGPT a uma página maliciosa hospedada no domínio legítimo chatgpt.com. Ao clicar no anúncio, os usuários são levados a uma página que simula uma mensagem de erro, informando que a versão web está indisponível e sugerindo o download de um aplicativo de desktop falso. Essa mensagem, que afirma que o site está temporariamente fora do ar devido ao alto tráfego, é gerada através das capacidades de renderização do ChatGPT, utilizando HTML e CSS personalizados. Se o usuário clicar no botão de download, ele é redirecionado para um site que imita o portal de download do aplicativo da OpenAI, mas que na verdade instala malware em dispositivos. As versões para macOS e Windows do suposto aplicativo contêm infostealers, que podem roubar informações sensíveis. Essa técnica de cloaking permite que o site mostre conteúdo inofensivo para plataformas de segurança, dificultando a detecção do ataque. A exploração de funcionalidades de compartilhamento em plataformas de IA para disseminar malware não é nova, e campanhas anteriores já utilizaram métodos semelhantes para enganar usuários.

Pacote NuGet malicioso compromete dados de clientes do Sicoob

Pesquisadores de cibersegurança descobriram um pacote NuGet malicioso que se disfarça como um kit de desenvolvimento de software C# para o Sicoob, um dos maiores sistemas financeiros cooperativos do Brasil. As versões 2.0.0 a 2.0.4 do pacote ‘Sicoob.Sdk’ foram projetadas para exfiltrar informações sensíveis, como IDs de clientes e certificados PFX, que são usados para autenticar empresas na rede bancária do Sicoob. O pacote, que foi baixado quase 500 vezes, captura dados ao instanciar o cliente Sicoob e envia informações para um endpoint Sentry de terceiros. Além disso, o pacote também coleta respostas da API de Boleto, expondo detalhes de transações financeiras. A exploração desses dados pode permitir que atacantes se façam passar pela integração da API bancária do Sicoob. Após a divulgação responsável, o pacote foi bloqueado pelo NuGet, mas o perfil responsável ainda possui outros pacotes com cerca de 6.000 downloads. Este incidente destaca a crescente sofisticação dos ataques à cadeia de suprimentos de software, que podem comprometer a segurança de sistemas financeiros críticos.

Grupo GREYVIBE realiza ataques cibernéticos contra a Ucrânia

O grupo de ciberespionagem GREYVIBE, atribuído a atores de língua russa, tem realizado ataques persistentes contra a Ucrânia e entidades relacionadas desde agosto de 2025. De acordo com a WithSecure, a atividade do grupo está alinhada com os interesses do Estado russo, especialmente no contexto da guerra em curso entre Rússia e Ucrânia. GREYVIBE utiliza uma variedade de vetores de ataque, incluindo e-mails de spear-phishing, páginas falsas de captcha e sites fraudulentos de clubes adultos ucranianos para disseminar malware. Os alvos incluem organizações militares, governamentais e civis. O grupo também se destaca por utilizar inteligência artificial generativa para aprimorar suas operações, o que indica um nível de sofisticação moderado, embora com falhas de segurança operacional. As campanhas observadas incluem o uso de ferramentas como PhantomMail e PhantomRelay, que permitem acesso remoto e coleta de dados sensíveis. A conexão do GREYVIBE com o ecossistema de cibercrime russo sugere que seus membros podem ser ex-cibercriminosos, complicando a atribuição de suas atividades. A utilização de IA, embora traga vantagens, também introduziu falhas no design do malware, indicando que o grupo pode não ser totalmente estatal. Essa situação representa um desafio significativo para a segurança cibernética, especialmente para países como o Brasil, que podem ser afetados por táticas semelhantes.

Grupo Kimsuky realiza ataques cibernéticos na Coreia do Sul

O grupo de ameaças patrocinado pelo Estado norte-coreano, conhecido como Kimsuky, foi responsável por uma nova onda de ataques cibernéticos direcionados a entidades militares e corporativas da Coreia do Sul entre março e abril de 2026. Utilizando táticas de engenharia social, como páginas falsas de instalação de software de segurança e reuniões do Webex, o grupo conseguiu disseminar uma variante de malware chamada HTTPSpy. Este malware, disfarçado como instaladores de software de segurança sul-coreano, permite acesso remoto completo aos sistemas comprometidos. Os ataques foram projetados para atingir administradores de mensagens em ambientes corporativos, utilizando páginas fraudulentas que simulavam serviços legítimos. Além disso, o Kimsuky evoluiu suas técnicas, incorporando ferramentas como o Microsoft Visual Studio Code para estabelecer acesso remoto, o que representa uma mudança significativa nas suas táticas. A análise destaca a necessidade de atenção redobrada por parte das organizações, especialmente em setores críticos, devido ao potencial impacto em conformidade com a LGPD e à segurança de dados sensíveis.

Trojan de acesso remoto BTMOB ameaça usuários Android no Brasil

O BTMOB é um trojan de acesso remoto para Android que está sendo oferecido a cibercriminosos com uma interface de construção para gerar cargas de malware personalizadas, especialmente voltadas para iscas de phishing. Este malware possui uma ampla gama de funcionalidades, incluindo roubo de dados específicos, interceptação de transações financeiras, captura de telas e controle remoto do dispositivo. Segundo a empresa de cibersegurança ESET, o BTMOB é promovido abertamente na internet e opera como uma plataforma de malware como serviço (MaaS). Os criminosos podem personalizar as permissões solicitadas pelo aplicativo durante a instalação e definir ações como desativar o Google Play e ocultar o ícone do aplicativo. O BTMOB é mais ativo no Brasil e na América Latina, e suas vendas ocorrem em canais privados do Telegram, com assinaturas mensais de US$ 700 ou uma licença vitalícia por US$ 5.000. O malware é distribuído por meio de sites de phishing que se disfarçam de serviços de streaming e plataformas de mineração de criptomoedas, redirecionando as vítimas para portais que imitam o Google Play. A ESET recomenda que os usuários do Android instalem apenas aplicativos da loja oficial e revoguem permissões arriscadas.

Grupo de ameaças GreyVibe utiliza IA para ciberespionagem

O grupo de ameaças cibernéticas, identificado como GreyVibe, vinculado à Rússia, tem utilizado iscas geradas por inteligência artificial e um conjunto diversificado de ferramentas de malware para atacar entidades nos setores militar, governamental, civil e empresarial. A campanha de ciberespionagem, que está ativa desde pelo menos agosto de 2025, foca em organizações ucranianas ou relacionadas à Ucrânia. A pesquisa da empresa de cibersegurança WithSecure revelou que GreyVibe emprega várias cadeias de ataque, incluindo e-mails de spear-phishing com arquivos maliciosos, páginas falsas que imitam serviços populares e sites de namoro falsos que distribuem spyware. A utilização de ferramentas de IA, como ChatGPT, para criar conteúdo realista e detalhado para as iscas é um aspecto notável da operação. Embora a atividade do GreyVibe seja consistente com operações de estado-nação, a falta de sofisticação e disciplina operacional sugere que o grupo pode incluir atores cibercriminosos. As organizações podem se proteger utilizando os indicadores de compromisso (IoCs) fornecidos pela WithSecure.

Vulnerabilidade no FortiClient permite roubo de credenciais

Hackers estão explorando uma vulnerabilidade crítica de bypass de autenticação (CVE-2026-35616) no FortiClient Enterprise Management Server (EMS) para implantar um malware chamado EKZ, que rouba credenciais. O ataque se disfarça como uma atualização legítima para endpoints da Fortinet e é executado através de fluxos de trabalho de script VPN gerenciados pelo FortiClient. Essa falha de controle de acesso inadequado permite que atacantes remotos não autenticados executem comandos arbitrários. A Fortinet confirmou a exploração da vulnerabilidade em abril e lançou correções de emergência para as versões 7.4.5 e 7.4.6 do produto. A CISA emitiu uma ordem para que agências federais protegessem suas instâncias rapidamente, enquanto a Arctic Wolf observou ataques que utilizam essa vulnerabilidade para entregar o infostealer EKZ. O malware é capaz de extrair dados sensíveis, como credenciais e informações de cartões de crédito, e opera de forma furtiva, utilizando scripts maliciosos que são executados após a conexão de um túnel IPsec. Os pesquisadores recomendam que as organizações fiquem atentas a anomalias de autenticação de certificados e atividades administrativas suspeitas.

Cibersegurança Novas Ameaças e Vulnerabilidades em 2026

O cenário de cibersegurança continua a apresentar desafios significativos, com a descoberta de mais de 1.350 servidores de comando e controle (C2) no Oriente Médio, representando 96,8% das atividades maliciosas na região. A Saudi Telecom Company (STC) é responsável por 72,4% dessa infraestrutura. Além disso, uma falha crítica de escalonamento de privilégios no Azure Backup da Microsoft foi corrigida, permitindo que usuários com permissões mínimas obtivessem acesso total a clusters AKS. Um cidadão romeno foi condenado a 56 meses de prisão por ataques cibernéticos nos EUA, destacando a gravidade das ameaças. A CISA adicionou um ataque à cadeia de suprimentos do software DAEMON Tools ao seu catálogo de vulnerabilidades exploradas, exigindo ações corretivas imediatas. A Apple, por sua vez, lançou implementações de criptografia pós-quântica, enquanto o grupo Silent Ransom Group tem atacado escritórios de advocacia nos EUA, utilizando engenharia social para roubar dados sensíveis. Por fim, campanhas de phishing estão em alta, com a distribuição de malware através de instaladores falsos e e-mails enganosos.

Ameaça de malware atinge servidores FortiClient com falha crítica

Recentemente, um grupo de cibercriminosos explorou uma falha crítica no FortiClient Endpoint Management Server (EMS), que já foi corrigida, para distribuir malware que rouba credenciais. A campanha utilizou a infraestrutura de gerenciamento de endpoints confiável para implantar o malware disfarçado como uma atualização legítima do Fortinet. A vulnerabilidade, identificada como CVE-2026-35616, possui uma pontuação CVSS de 9.1 e permite a escalada de privilégios por meio de um bypass de autenticação de API. Após a exploração, os atacantes modificaram configurações para atrasar lembretes de atualização de firmware e injetaram scripts maliciosos em dispositivos gerenciados. O malware, chamado ‘FortiEndpoint_Patch.exe’, é um ladrão de informações que coleta dados sensíveis, como senhas e informações de cartões de crédito, e os envia para um servidor controlado pelos atacantes. A utilização de comandos PowerShell para executar essas ações destaca a gravidade da situação, pois cada endpoint gerenciado se torna um alvo potencial sem a necessidade de uma intrusão separada.

Hackers se disfarçam de suporte técnico para instalar malware, alerta FBI

O FBI emitiu um alerta sobre um novo método de ataque cibernético em que hackers, conhecidos como Silent Ransom Group (SRG), se apresentam como suporte técnico nas empresas para instalar malware e roubar dados. Este grupo, ativo desde 2022, tem como alvo principal escritórios de advocacia nos Estados Unidos. O ataque geralmente começa com uma ligação de ‘vishing’ (phishing por voz), onde tentam convencer a vítima a instalar um software de gerenciamento remoto. Se essa abordagem falhar, os hackers se dirigem fisicamente ao local, portando dispositivos como pen drives e discos externos para realizar a intrusão. Uma vez dentro, eles copiam arquivos sensíveis e instalam malware, escalando privilégios antes de se retirarem. Posteriormente, eles extorquem as vítimas através de e-mails de resgate e chamadas, ameaçando divulgar os dados roubados. O SRG é também conhecido por manter um site de vazamento de dados, onde expõem as vítimas que não pagam o resgate. Este tipo de ataque representa um risco significativo, especialmente para setores que lidam com informações sensíveis, como o jurídico.

Campanha de Malware Alvo de Organizações de Criptomoedas

Uma nova campanha de cibersegurança, atribuída ao ator de ameaças JINX-0164, tem como alvo organizações de criptomoedas, utilizando engenharia social e malware específico para macOS. Os pesquisadores da Wiz identificaram que o grupo, ativo desde meados de 2025, emprega técnicas sofisticadas para enganar desenvolvedores, oferecendo oportunidades de emprego falsas através de perfis verificados no LinkedIn. Os alvos são direcionados a um domínio fraudulento que simula um provedor de teleconferência, onde são induzidos a baixar um programa malicioso.

Campanha de Cryptojacking Alvo de Computadores de Alto Desempenho

Uma nova campanha de cryptojacking está atacando sistemas com computadores de alto desempenho, utilizando uma operação de envenenamento de SEO coordenada que manipula recomendações de chatbots de IA. Os ataques começam quando usuários buscam por softwares utilitários legítimos, como CrystalDiskInfo e HWMonitor, e são redirecionados para links maliciosos que aparecem nas primeiras posições dos resultados de busca. Após a infecção, os atacantes ganham acesso persistente ao sistema por meio da ferramenta de gerenciamento remoto ScreenConnect, que pode ser usada para instalar malware adicional.

Desmantelamento de canais de comando do malware GlassWorm

A CrowdStrike, em colaboração com o Google e a Shadowserver Foundation, anunciou a interrupção simultânea de todos os canais de comando e controle (C2) associados ao malware GlassWorm. Desde 2025, os operadores do GlassWorm têm como alvo desenvolvedores de software, utilizando pacotes e extensões maliciosas para comprometer repositórios de código e pipelines de CI/CD. O malware se destaca por sua capacidade de infiltrar-se em extensões do VS Code e pacotes npm e Python, visando roubar credenciais e dados sensíveis. Os ataques têm como objetivo principal a instalação de um framework de roubo de dados, que inclui a coleta de informações de navegadores e credenciais de desenvolvedores. A operação utilizou quatro canais C2 distintos, incluindo o uso da blockchain Solana e o Google Calendar, para garantir resiliência contra desmantelamentos. A CrowdStrike atribui a atividade a cibercriminosos possivelmente baseados na Rússia, dado que o malware interrompe sua execução em sistemas da CEI. O artigo destaca a vulnerabilidade da cadeia de suprimentos de software, alertando que, enquanto ambientes de desenvolvimento permanecerem desprotegidos, todos os usuários de software estarão em risco.

Pacote malicioso no npm rouba dados de usuários do Claude AI

Pesquisadores de cibersegurança identificaram um novo pacote malicioso no registro npm, denominado ‘mouse5212-super-formatter’, que possui capacidades de roubo de informações. Segundo a OX Security, o pacote é projetado para fazer upload de arquivos da pasta ‘/mnt/user-data’, utilizada pela ferramenta de inteligência artificial Claude, da Anthropic. O malware, apelidado de Malware-Slop, se apresenta como uma ferramenta interna de sincronização de repositórios do GitHub, mas na verdade, autentica-se na plataforma usando tokens de acesso encontrados no ambiente da vítima ou um token codificado como alternativa. Após verificar a existência de um repositório alvo, o malware cria um novo repositório, caso necessário, e faz o upload recursivo de todos os arquivos para uma conta controlada por um ator de ameaça. O pacote já foi baixado 676 vezes, mas não está claro quantas dessas correspondem a instalações reais. O GitHub associado à campanha foi desativado, embora tenha sido criado poucas horas antes do upload da versão maliciosa. O incidente levanta preocupações sobre a segurança operacional, pois o pacote vazou detalhes do token privado do GitHub, sugerindo que o ator de ameaça pode estar utilizando inteligência artificial para gerar malware sem seguir práticas básicas de segurança operacional.

Campanhas de trojans bancários visam América Latina e Europa

Recentes investigações da WatchGuard e ESET revelaram que duas campanhas de malware, Grandoreiro e BTMOB, estão atacando dispositivos Windows e Android na América Latina e Europa. O Grandoreiro, ativo desde 2016, utiliza a técnica de DLL Side-Loading para infectar sistemas, visando bancos em Portugal e expandindo suas operações apesar de esforços de desmantelamento por autoridades brasileiras. O malware é distribuído principalmente por e-mails de phishing, que induzem os usuários a clicar em links maliciosos. A campanha também incorpora verificações de CAPTCHA para dificultar a análise. Por outro lado, o BTMOB, um trojan de acesso remoto para Android, permite que atacantes desbloqueiem dispositivos, capturem telas e roubem credenciais. Este malware é vendido como um serviço, permitindo que até mesmo usuários sem habilidades de programação criem novas campanhas rapidamente. Ambos os malwares representam um risco significativo, especialmente com a crescente sofisticação das técnicas de ataque, tornando a detecção mais difícil. As empresas devem estar atentas a essas ameaças e implementar medidas de segurança robustas para proteger suas informações financeiras.

Microsoft alerta sobre campanha ativa de cryptojacking com IA

A Microsoft emitiu um alerta sobre uma campanha ativa de cryptojacking que utiliza interações com chatbots de inteligência artificial (IA) para direcionar usuários a sites de download maliciosos. Segundo a empresa, essa técnica de entrega emergente amplia a engenharia social além dos resultados de busca convencionais, aumentando a visibilidade de recomendações de software malicioso. Os atacantes se passam por utilitários de sistema legítimos, como CrystalDiskInfo e HWMonitor, visando usuários com GPUs de alto desempenho. Além de objetivos financeiros, os criminosos buscam estabelecer acesso remoto persistente aos sistemas comprometidos, utilizando implantações do ScreenConnect para atividades subsequentes, como roubo de dados e movimentação lateral. A campanha se destaca por sua abordagem deliberada, focando em dispositivos que maximizam o rendimento da mineração de criptomoedas. A Microsoft detectou e bloqueou atividades relacionadas a essa campanha, que envolve técnicas de SEO e interação com chatbots para enganar usuários em busca de software confiável.

Malware RemotePE Ameaça do Grupo Lazarus a Setores Financeiros

Pesquisadores de cibersegurança identificaram um malware multiplataforma conhecido como RemotePE, utilizado pelo grupo Lazarus, vinculado à Coreia do Norte, em ataques direcionados a organizações financeiras e de criptomoedas. O RemotePE faz parte de uma cadeia de ataque em múltiplas etapas que começa com o DPAPILoader, que descriptografa e carrega o RemotePELoader, que por sua vez se conecta a um servidor de comando e controle (C2) para receber o módulo principal, o RemotePE. Este malware, executado inteiramente na memória, não deixa rastros no sistema de arquivos, dificultando a detecção. A sequência de infecção inicia-se com engenharia social, onde um funcionário é abordado por um criminoso disfarçado de colega em plataformas como Telegram. O RemotePE permite uma variedade de comandos, incluindo operações de arquivos e gerenciamento de processos, e é projetado para manter acesso a longo prazo, visando furtos de dados ou grandes roubos financeiros. A análise indica que o RemotePE está em desenvolvimento ativo desde 2023, com um foco claro em alvos de alto valor, como instituições financeiras e de criptomoedas.