Malware

Pesquisadores de cibersegurança revelaram detalhes sobre um ataque cibernético que visou uma grande empresa imobiliária dos EUA, utilizando um novo framework de comando e controle (C2) chamado Tuoni. O ataque ocorreu em meados de outubro de 2025 e, segundo a Morphisec, os invasores provavelmente usaram engenharia social por meio de uma imitação no Microsoft Teams para obter acesso inicial. Os atacantes se passaram por fornecedores ou colegas de confiança para induzir um funcionário a executar um comando PowerShell. Esse comando baixou um segundo script PowerShell de um servidor externo, que utilizou técnicas de esteganografia para ocultar um payload dentro de uma imagem bitmap. O objetivo principal era extrair e executar shellcode diretamente na memória, resultando na execução do ‘TuoniAgent.dll’, que permitiu o controle remoto da máquina alvo. Embora o ataque tenha sido frustrado, ele evidencia o uso indevido de ferramentas de red teaming para fins maliciosos. A Morphisec também observou que o mecanismo de entrega do ataque apresentava indícios de assistência de inteligência artificial na geração de código, refletindo uma tendência preocupante no uso de tecnologias emergentes para atividades ilícitas.

Pesquisadores de cibersegurança identificaram campanhas de malware que utilizam a tática de engenharia social ClickFix para implantar o Amatera Stealer e o NetSupport RAT. O Amatera, uma evolução do ACR Stealer, foi observado pela primeira vez em junho de 2025 e está disponível por meio de planos de assinatura que variam de $199 a $1.499 por ano. Este malware é projetado para exfiltrar dados sensíveis de carteiras de criptomoedas, navegadores e aplicativos de mensagens, utilizando técnicas avançadas para evitar detecções por soluções de segurança.

O grupo de cibercriminosos conhecido como Dragon Breath, também identificado como APT-Q-27, tem utilizado um carregador de múltiplas etapas chamado RONINGLOADER para disseminar uma variante modificada do trojan de acesso remoto Gh0st RAT. A campanha é direcionada principalmente a usuários de língua chinesa e utiliza instaladores NSIS trojanizados que se disfarçam como softwares legítimos, como Google Chrome e Microsoft Teams. Os pesquisadores de segurança da Elastic Security Labs destacam que a cadeia de infecção emprega diversas técnicas de evasão para neutralizar produtos de segurança populares na China. Entre as táticas utilizadas, estão a utilização de drivers assinados legitimamente e a manipulação do Microsoft Defender. O RONINGLOADER não apenas tenta eliminar processos de segurança, mas também injeta código malicioso em processos legítimos do Windows para ocultar suas atividades. Além disso, uma campanha paralela identificada pela Palo Alto Networks, chamada Campaign Chorus, também tem utilizado a falsificação de marcas para atingir usuários de língua chinesa, empregando uma cadeia de infecção mais sofisticada. Essas atividades representam um risco significativo, especialmente para organizações que operam em setores vulneráveis a ataques cibernéticos.

Recentemente, o cenário de cibersegurança tem se tornado cada vez mais alarmante, com ataques que utilizam ferramentas comuns, como IA e VPNs, para causar danos sem serem detectados. Um exemplo crítico é a exploração da vulnerabilidade CVE-2025-64446 no Fortinet FortiWeb, que permite a criação de contas administrativas maliciosas. Essa falha, com um CVSS de 9.1, foi adicionada ao catálogo de Vulnerabilidades Conhecidas da CISA, exigindo que agências federais apliquem correções até 21 de novembro de 2025.

Os keyloggers são ferramentas que registram as teclas digitadas em dispositivos, podendo ser utilizados tanto de forma legítima quanto maliciosa. Como software, eles são frequentemente instalados em sistemas operacionais sem o conhecimento do usuário, enquanto como hardware, podem ser dispositivos físicos conectados entre o teclado e o computador. A principal função dos keyloggers é coletar informações sensíveis, como senhas e dados bancários, o que os torna uma ameaça significativa no cenário da cibersegurança. Embora possam ser usados legalmente para monitoramento corporativo, controle parental e suporte técnico, seu uso sem consentimento levanta questões éticas e de privacidade. Os cibercriminosos, por outro lado, utilizam keyloggers para roubar dados através de métodos como phishing e downloads de trojans. Para se proteger, é essencial estar ciente dos sinais de alerta e adotar medidas de segurança, como o uso de antivírus e a verificação de links suspeitos. O artigo também discute a necessidade de um debate ético sobre o uso de keyloggers, especialmente em ambientes corporativos e familiares, onde a privacidade deve ser respeitada.

O malware de botnet conhecido como RondoDox está atacando instâncias do XWiki que não foram atualizadas, aproveitando uma falha de segurança crítica identificada como CVE-2025-24893, que possui uma pontuação CVSS de 9.8. Essa vulnerabilidade, que permite a execução remota de código arbitrário, foi corrigida nas versões 15.10.11, 16.4.1 e 16.5.0RC1 do XWiki, lançadas em fevereiro de 2025. Desde março, houve indícios de que a falha estava sendo explorada, mas foi em outubro que a VulnCheck reportou um aumento significativo nas tentativas de exploração, culminando em um pico em 7 de novembro. O RondoDox, que rapidamente está adicionando novos vetores de exploração, visa dispositivos vulneráveis para realizar ataques de negação de serviço distribuída (DDoS) utilizando protocolos HTTP, UDP e TCP. Além disso, outras tentativas de ataque têm sido observadas, como a entrega de mineradores de criptomoedas e a criação de shells reversos. A CISA dos EUA incluiu a vulnerabilidade em seu catálogo de Vulnerabilidades Conhecidas Exploradas, exigindo que agências federais implementem as devidas mitig ações até 20 de novembro. Este cenário ressalta a importância de práticas robustas de gerenciamento de patches para garantir a proteção adequada.

O grupo de ameaças da Coreia do Norte, responsável pela campanha Contagious Interview, alterou suas táticas ao utilizar serviços de armazenamento JSON, como JSON Keeper e JSONsilo, para hospedar e entregar cargas maliciosas. Segundo pesquisadores da NVISO, a campanha envolve abordagens a alvos em redes profissionais, como o LinkedIn, sob o pretexto de avaliações de emprego ou colaborações em projetos. Os alvos são instruídos a baixar projetos de demonstração hospedados em plataformas como GitHub, onde arquivos maliciosos estão disfarçados. Um exemplo encontrado contém um valor codificado em Base64 que, na verdade, é um URL para um serviço JSON, onde a carga maliciosa é armazenada de forma ofuscada. O malware, denominado BeaverTail, coleta dados sensíveis e instala um backdoor em Python chamado InvisibleFerret. Além disso, a campanha também utiliza um payload adicional chamado TsunamiKit, que foi destacado pela ESET em setembro de 2025. Os pesquisadores alertam que a utilização de sites legítimos para a entrega de malware demonstra a intenção dos atacantes de operar de forma furtiva, visando comprometer desenvolvedores de software e exfiltrar informações sensíveis.

Uma recente campanha de malware ilustra o uso contínuo de cadeias de infecção em múltiplas etapas para contornar controles de segurança e entregar o ladrão de informações FormBook. O ataque começa com um e-mail contendo um anexo ZIP, que se desdobra em uma sequência complexa de scripts ofuscados. O arquivo ZIP inicial contém um script em Visual Basic (VBS) que, apesar de sua aparência simples, possui camadas de ofuscação para ocultar seu verdadeiro propósito. O script inicia um loop de atraso e constrói um comando PowerShell, que é executado em um novo processo. A camada PowerShell é fortemente ofuscada, utilizando funções específicas para reconstruir e executar fragmentos de código malicioso. O script tenta baixar o próximo payload de um link do Google Drive, que é então injetado em um processo legítimo, resultando na execução de uma variante do FormBook. Este malware é projetado para coletar credenciais, capturas de tela e pressionamentos de tecla, comunicando-se com um servidor de comando e controle. A campanha destaca a importância de não limitar a engenharia reversa a binários executáveis, pois infecções modernas dependem de scripts leves e processos confiáveis para entregar payloads poderosos e furtivos.

O grupo de ameaças patrocinado pelo Estado iraniano, conhecido como APT42, está em uma nova campanha de espionagem, chamada SpearSpecter, que visa indivíduos e organizações de interesse do Corpo da Guarda Revolucionária Islâmica (IRGC). Detectada em setembro de 2025, a campanha utiliza táticas de engenharia social personalizadas, como convites para conferências de prestígio, visando principalmente altos funcionários do governo e da defesa. O grupo é conhecido por sua habilidade em criar campanhas de engenharia social convincentes, muitas vezes se passando por contatos conhecidos para ganhar a confiança das vítimas antes de enviar links maliciosos. A campanha também se estende a familiares dos alvos, ampliando a superfície de ataque. O ataque envolve o uso de um backdoor em PowerShell chamado TAMECAT, que permite acesso persistente e exfiltração de dados. O TAMECAT se comunica através de canais como HTTPS, Discord e Telegram, aumentando a resiliência do ataque. A infraestrutura da campanha combina serviços de nuvem legítimos com recursos controlados pelos atacantes, refletindo um alto nível de sofisticação e segurança operacional.

Uma operação coordenada pela Europol e Eurojust, chamada Operação Endgame, resultou no desmantelamento de uma rede criminosa que disseminava malwares como Rhadamanthys Stealer e Venom RAT, além do bot Elysium. A ação, que ocorreu em 10 de novembro de 2025, levou à prisão do principal suspeito na Grécia e à desativação de mais de mil servidores, além da apreensão de cerca de 20 domínios. Segundo a Europol, a rede de malware afetou centenas de milhares de computadores em todo o mundo, resultando no roubo de milhões de credenciais. O Rhadamanthys Stealer, por exemplo, coletava informações de dispositivos sem que as vítimas percebessem, enquanto o Venom RAT estava associado a ataques de ransomware. A operação também revelou que o cibercriminoso investigado havia coletado cerca de 100 mil carteiras de criptomoedas, representando um valor significativo em euros. A investigação continua, especialmente em relação ao bot Elysium, cuja relação com os outros malwares ainda está sendo analisada.

Um ataque cibernético coordenado, conhecido como ‘IndonesianFoods worm’, foi descoberto por Paul McCarty, revelando a infiltração de mais de 43.000 pacotes de spam no registro npm ao longo de quase dois anos. Os atacantes utilizaram pelo menos 11 contas controladas para publicar uma quantidade sem precedentes de pacotes, que representaram mais de 1% do ecossistema npm, sem serem detectados por scanners de segurança automatizados.

Os pacotes, que se disfarçavam como projetos legítimos do Next.js, continham scripts maliciosos inativos que, quando executados manualmente, permitiam a publicação rápida de novos pacotes a cada 7 a 10 segundos. Além disso, a campanha explorou um sistema de recompensa baseado em blockchain, o TEA, para monetizar suas ações, inflacionando artificialmente suas pontuações de impacto no open-source.

Uma nova investigação da NVISO revelou uma campanha de malware chamada “Contagious Interview”, associada a atores de ameaças alinhados à Coreia do Norte. Essa campanha utiliza serviços legítimos de armazenamento JSON, como JSON Keeper e JSONsilo, para distribuir malware a partir de repositórios de código comprometidos. O ataque se concentra em desenvolvedores de software, especialmente nos setores de criptomoedas e Web3, que são abordados por recrutadores falsos em plataformas profissionais como o LinkedIn. Os desenvolvedores são induzidos a baixar projetos de demonstração de repositórios como GitLab ou GitHub, que, embora pareçam funcionais, contêm arquivos de configuração maliciosos. Esses arquivos, ao serem decodificados, revelam URLs que carregam scripts JavaScript ofuscados, levando à instalação de um infostealer chamado BeaverTail, que coleta dados sensíveis. A segunda fase do ataque envolve um RAT modular chamado InvisibleFerret, que busca componentes adicionais em Pastebin. A NVISO alerta que os desenvolvedores devem ser cautelosos ao executar códigos de entrevistas não solicitadas e tratar variáveis de configuração como potenciais vetores de infecção.

Entre os dias 10 e 13 de novembro de 2025, uma operação coordenada liderada pela Europol e Eurojust resultou no desmantelamento de famílias de malware, incluindo Rhadamanthys Stealer, Venom RAT e a botnet Elysium. Esta ação faz parte da Operação Endgame, que visa combater infraestruturas criminosas e ransomware em todo o mundo. Durante a operação, mais de 1.025 servidores foram derrubados e 20 domínios foram apreendidos. A Europol informou que a infraestrutura desmantelada continha centenas de milhares de computadores infectados, com milhões de credenciais roubadas. Muitos dos afetados não tinham conhecimento da infecção em seus sistemas. Além disso, o principal suspeito do Venom RAT foi preso na Grécia e tinha acesso a cerca de 100.000 carteiras de criptomoedas, representando um potencial valor de milhões de euros. A análise da Check Point revelou que a versão mais recente do Rhadamanthys agora coleta impressões digitais de dispositivos e navegadores, utilizando mecanismos para evitar detecção. A operação contou com a colaboração de agências de segurança de vários países, incluindo Estados Unidos, Austrália e diversos países europeus.

Pesquisadores de cibersegurança descobriram uma extensão maliciosa do Chrome chamada “Safery: Ethereum Wallet”, que se apresenta como uma carteira legítima de Ethereum, mas possui funcionalidades para exfiltrar as frases-semente dos usuários. Lançada na Chrome Web Store em 29 de setembro de 2025 e atualizada até 12 de novembro, a extensão ainda está disponível para download. O malware embutido na extensão é projetado para roubar frases mnemônicas de carteiras, codificando-as como endereços falsos de Sui e realizando microtransações de uma carteira controlada pelo atacante. O objetivo final é ocultar a frase-semente dentro de transações normais da blockchain, evitando a necessidade de um servidor de comando e controle. Os usuários são aconselhados a utilizar apenas extensões de carteira confiáveis e a realizar verificações em extensões que possam conter codificadores mnemônicos. A técnica utilizada pelos atacantes permite que eles mudem facilmente de cadeias e pontos de extremidade RPC, tornando as detecções convencionais ineficazes.

Pesquisadores em cibersegurança alertam para uma campanha de spam em larga escala que tem inundado o registro npm com milhares de pacotes falsos desde o início de 2024. Identificada como ‘IndonesianFoods’, essa campanha já publicou cerca de 67.579 pacotes, que se disfarçam como projetos do Next.js. O objetivo principal não é o roubo de dados, mas sim a saturação do registro com pacotes aleatórios. Os pacotes contêm um script JavaScript que permanece inativo até ser executado manualmente pelo usuário, o que dificulta a detecção automática por scanners de segurança. Essa execução manual inicia um ciclo que remove configurações de privacidade e publica novos pacotes a cada 7 a 10 segundos, resultando em um fluxo constante de pacotes indesejados. A campanha, que já dura mais de dois anos, levanta preocupações sobre a segurança da cadeia de suprimentos de software, pois pode levar desenvolvedores a instalar acidentalmente esses pacotes maliciosos. A GitHub já removeu os pacotes identificados e se comprometeu a intensificar a detecção e remoção de conteúdos maliciosos em sua plataforma.

O malware GootLoader, conhecido por suas técnicas de ocultação, voltou a ser uma ameaça ativa, conforme relatado pela empresa de cibersegurança Huntress. Desde o final de outubro, foram identificadas três invasões, com duas delas comprometendo o controlador de domínio em apenas 17 horas após a infecção. O GootLoader utiliza uma abordagem inovadora, explorando os comentários em sites WordPress para entregar arquivos encriptados com chaves únicas, utilizando ofuscamento por meio de fontes WOFF2. Isso permite que o malware se esconda em arquivos que parecem legítimos, enganando os usuários.

Pesquisadores identificaram uma nova campanha do MastaStealer que utiliza arquivos de atalho do Windows (LNK) para executar comandos maliciosos em PowerShell e implantar um beacon de comando e controle (C2) em sistemas comprometidos. O ataque começa com um e-mail de spear-phishing que contém um arquivo ZIP com um arquivo .lnk malicioso. Ao ser executado, o atalho abre o Microsoft Edge em um domínio legítimo, anydesk[.]com, enquanto busca silenciosamente um payload secundário de um domínio semelhante, anydesck[.]net. Esse processo resulta no download de um instalador MSI malicioso que estabelece persistência e implanta o payload final. A análise do comportamento foi realizada através dos logs de eventos do Windows Installer, que indicaram falhas de instalação quando executadas sob contas não privilegiadas. O arquivo MSI cria uma pasta temporária e implanta um binário disfarçado de dwm.exe, que atua como beacon C2. Além disso, um comando PowerShell modifica as configurações do Windows Defender, permitindo que o malware opere sem ser detectado. A campanha destaca a eficácia contínua da exploração de arquivos LNK em ataques de engenharia social, exigindo que as organizações adotem medidas de mitigação, como o bloqueio de downloads MSI de fontes não confiáveis e a restrição da execução de arquivos LNK de anexos de e-mail.

Pesquisadores estão observando um aumento nas campanhas de malware para macOS que utilizam arquivos AppleScript (.scpt) para entregar stealer e instaladores de atualizações falsas disfarçados como documentos de escritório legítimos ou atualizações do Zoom e Microsoft Teams. Essa técnica, anteriormente associada a operações de APT que visavam o macOS, agora está sendo reaproveitada por famílias de malware como MacSync e Odyssey Stealer. Após a remoção, em agosto de 2024, da opção de contornar o Gatekeeper com o ‘clique direito e abrir’, os atacantes têm experimentado novos métodos de interação com o usuário para executar códigos maliciosos. Os arquivos .scpt maliciosos são abertos pelo Script Editor.app, permitindo que os atacantes ocultem o código malicioso em comentários, levando as vítimas a executar comandos prejudiciais sem perceber. Exemplos recentes incluem documentos falsos e scripts de atualização que, ao serem abertos, podem buscar cargas secundárias ou executar comandos ocultos. A detecção de malware por antivírus tradicionais é inconsistente, e recomenda-se que os defensores monitorem as execuções iniciadas pelo Script Editor.app e tratem arquivos com extensões suspeitas como .docx.scpt e .pptx.scpt com cautela. Para mitigar esses riscos, sugere-se alterar o manipulador padrão para editores não executáveis como o TextEdit.

O Google entrou com uma ação civil no Tribunal Distrital dos EUA para o Sul de Nova York contra hackers baseados na China, responsáveis por uma plataforma de Phishing-as-a-Service (PhaaS) chamada Lighthouse. Essa plataforma já afetou mais de 1 milhão de usuários em 120 países, utilizando ataques de phishing via SMS que se disfarçam como mensagens de marcas confiáveis, como E-ZPass e USPS, para roubar informações financeiras. A operação, que gerou mais de um bilhão de dólares em três anos, utiliza templates fraudulentos que imitam a marca do Google, enganando os usuários. A empresa busca desmantelar a infraestrutura criminosa sob a Lei RICO e outras legislações. A plataforma Lighthouse, junto com outras como Darcula e Lucid, faz parte de um ecossistema de cibercrime interconectado que envia milhares de mensagens maliciosas, visando roubar dados sensíveis. Estima-se que entre 12,7 milhões e 115 milhões de cartões de pagamento tenham sido comprometidos nos EUA entre julho de 2023 e outubro de 2024. A crescente sofisticação dos ataques, incluindo o uso de ferramentas como Ghost Tap, representa uma ameaça significativa para a segurança digital.

Rumores no monitoramento de cibercrime indicam uma interrupção significativa na infraestrutura do Hadamanthys Stealer, um malware que rouba informações. Relatos sugerem que seus domínios onion e painéis de controle estão offline, possivelmente devido a uma operação coordenada de aplicação da lei. Analistas de inteligência de ameaças, como Gi7w0rm e g0njxa, acreditam que a infraestrutura do Hadamanthys pode ter sido apreendida, levando os administradores a aconselharem os usuários a ‘pausar todo o trabalho’ e reinstalar seus servidores. Essa situação é consistente com padrões observados em operações anteriores contra ecossistemas cibercriminosos, onde a inatividade dos domínios e avisos administrativos indicam instabilidade e possíveis compromissos. O Hadamanthys, que se destacou como uma plataforma de Malware-as-a-Service (MaaS) em 2024-2025, permitia que atores de ameaças comprassem e gerenciassem hosts infectados globalmente. A apreensão de sua infraestrutura pode causar um impacto significativo no mercado de infostealers, embora a recuperação parcial ou rebranding sob um novo nome seja uma possibilidade em um futuro próximo.

A equipe de inteligência de ameaças da Amazon divulgou que um ator de ameaça avançado explorou duas falhas de segurança zero-day em produtos da Cisco e Citrix, visando implantar malware personalizado. As vulnerabilidades identificadas são a CVE-2025-5777, uma falha de validação de entrada no Citrix NetScaler ADC, e a CVE-2025-20337, uma vulnerabilidade de execução remota de código no Cisco Identity Services Engine (ISE). Ambas foram corrigidas em 2025, mas foram ativamente exploradas antes da correção. A exploração da CVE-2025-20337 resultou na implantação de um web shell disfarçado como um componente legítimo do Cisco ISE, evidenciando a sofisticação do ataque. A Amazon descreveu o ator como altamente capacitado, capaz de utilizar múltiplas exploits zero-day, o que ressalta a necessidade de as organizações implementarem estratégias de defesa em profundidade e capacidades robustas de detecção de comportamentos anômalos. O relatório destaca que mesmo sistemas bem configurados podem ser vulneráveis a esses tipos de ataques, enfatizando a importância de limitar o acesso a portais de gerenciamento privilegiados.

Pesquisadores de segurança cibernética descobriram semelhanças entre um malware bancário chamado Coyote e um novo programa malicioso denominado Maverick, que está sendo disseminado via WhatsApp. Ambos os malwares, escritos em .NET, têm como alvo usuários e instituições financeiras no Brasil, apresentando funcionalidades semelhantes, como a capacidade de monitorar aplicativos bancários e se propagar através do WhatsApp Web. O Maverick, documentado pela Trend Micro, é atribuído a um ator de ameaças conhecido como Water Saci e utiliza um malware auto-propagante chamado SORVEPOTEL, que entrega um arquivo ZIP contendo o payload do Maverick. Este malware monitora abas de navegador em busca de URLs de instituições financeiras e pode coletar informações do sistema e exibir páginas de phishing para roubo de credenciais. A Sophos levantou a possibilidade de que Maverick seja uma evolução do Coyote, e a Kaspersky confirmou sobreposições de código entre os dois. A campanha também se destaca por sua capacidade de contornar a autenticação do WhatsApp Web, permitindo acesso imediato às contas dos usuários. Com mais de 148 milhões de usuários ativos no Brasil, a popularidade do WhatsApp torna essa ameaça particularmente preocupante.

Uma nova campanha de phishing está afetando usuários do Booking.com e de hotéis parceiros, com criminosos comprometendo sistemas para roubar dados sensíveis. Desde abril de 2025, e-mails fraudulentos têm sido enviados, contendo links maliciosos que imitam a interface do Booking. Ao clicar, as vítimas são levadas a uma página falsa que solicita uma verificação bancária, resultando na instalação do trojan PureRAT, que permite controle remoto do dispositivo. Os hackers inicialmente visam funcionários dos hotéis para obter credenciais de login, expandindo o ataque para serviços como Airbnb e Expedia. Relatos de vítimas indicam que, além do pagamento oficial, muitos foram forçados a realizar um segundo pagamento para os criminosos. As credenciais roubadas também estão sendo vendidas em fóruns de crimes digitais, aumentando o risco de fraudes. Especialistas alertam para a gravidade da situação, que não só compromete dados pessoais, mas também pode impactar a conformidade com a LGPD.

Uma vulnerabilidade zero-day na biblioteca de processamento de imagem do sistema Android da Samsung permitiu que hackers instalassem spywares em celulares da linha Galaxy, especialmente no Oriente Médio. O malware, denominado Landfall, foi identificado pela Unit 42 da Palo Alto Networks e é capaz de gravar conversas, monitorar a localização, tirar fotos e roubar contatos. A falha, classificada como CVE-2025-21042, foi explorada entre meados de 2024 e abril de 2025, quando a Samsung lançou um patch para corrigir o problema. O spyware era disseminado através de negativos digitais (DNG) enviados pelo WhatsApp, atingindo principalmente usuários no Iraque, Irã, Marrocos e Turquia. A descoberta do Landfall sugere uma possível coordenação com ataques semelhantes em dispositivos iOS, indicando que agentes privados ou governamentais podem estar por trás das atividades maliciosas. A situação é alarmante, pois o malware é otimizado para dispositivos de alta gama da Samsung, como os modelos Galaxy S22, S23 e S24, e possui capacidades avançadas de reconhecimento e evasão.

O grupo de ciberespionagem conhecido como Ferocious Kitten tem atuado de forma encoberta desde 2015, focando em dissidentes e ativistas persas no Irã. Recentemente, o grupo ganhou destaque por utilizar uma ferramenta de vigilância chamada MarkiRAT, que é distribuída através de e-mails de spearphishing contendo documentos maliciosos do Microsoft Office. Esses documentos exploram vulnerabilidades, como a CVE-2021-40444, para implantar o malware. Uma vez ativo, o MarkiRAT registra teclas digitadas, captura dados da área de transferência, realiza buscas em arquivos e rouba credenciais, especialmente de arquivos KeePass. O malware se destaca por suas táticas de persistência, se infiltrando em aplicativos legítimos como Telegram e Chrome, garantindo que o software malicioso seja executado sempre que o usuário inicia esses programas. Além disso, utiliza técnicas de engenharia social para disfarçar arquivos executáveis como imagens ou vídeos, dificultando a detecção. O Ferocious Kitten demonstra agilidade operacional, adaptando-se rapidamente e priorizando a coleta de dados em vez de ataques disruptivos. Organizações são aconselhadas a testar suas defesas contra as táticas em evolução desse grupo, especialmente em plataformas de simulação de segurança.

Um novo trojan de acesso remoto para Android (RAT) chamado KomeX foi identificado em fóruns de cibercrime, sendo promovido por um ator de ameaças conhecido como Gendirector. Baseado no código BTMOB, o KomeX é oferecido em diferentes pacotes de assinatura, refletindo a evolução do malware móvel em um mercado subterrâneo orientado por serviços. O malware promete controle total do dispositivo infectado, permitindo a execução de funções como ativação de câmera e microfone, interceptação de SMS, acesso a arquivos e rastreamento de geolocalização. Um dos recursos mais destacados é a capacidade de transmitir a tela do dispositivo infectado em tempo real, com até 60 quadros por segundo. O KomeX é comercializado em três níveis de assinatura: $500 por um mês, $1.200 por acesso vitalício e $3.000 pelo código-fonte completo. Essa estrutura de preços sugere que o desenvolvedor visa não apenas operadores de cibercrime, mas também outros atores que desejam rebrandear ou expandir a funcionalidade do RAT. Especialistas em segurança alertam que, se operacional, o KomeX pode ampliar significativamente o alcance de campanhas de espionagem móvel, recomendando que os usuários evitem a instalação de aplicativos de fontes não verificadas e mantenham atualizações de segurança regulares.

Pesquisadores de cibersegurança revelaram detalhes sobre um novo trojan de acesso remoto para Android, chamado Fantasy Hub, que está sendo comercializado em canais de Telegram de língua russa sob um modelo de Malware-as-a-Service (MaaS). O malware permite controle total do dispositivo e espionagem, coletando mensagens SMS, contatos, registros de chamadas, imagens e vídeos, além de interceptar e manipular notificações. O Fantasy Hub é projetado para facilitar a vida de atacantes iniciantes, oferecendo documentação e um modelo de assinatura gerido por bot. O preço varia de $200 por semana a $4,500 por ano. O trojan se disfarça como uma atualização do Google Play e abusa de permissões padrão de SMS para obter acesso a dados sensíveis. A ameaça é particularmente preocupante para empresas que adotam o modelo BYOD (Bring Your Own Device) e para usuários de aplicativos bancários. A Zscaler revelou um aumento de 67% nas transações de malware Android, destacando a crescente sofisticação de trojans bancários e spyware. O Fantasy Hub representa uma nova geração de malware que combina técnicas de engenharia social com funcionalidades avançadas, como streaming em tempo real de câmera e microfone.

Pesquisadores de cibersegurança descobriram um pacote npm malicioso chamado “@acitons/artifact”, que faz typosquatting do legítimo “@actions/artifact”. O objetivo é comprometer repositórios pertencentes ao GitHub. A análise da Veracode revelou que seis versões do pacote, de 4.0.12 a 4.0.17, continham um script pós-instalação que baixava e executava malware. Embora a versão mais recente disponível no npm seja 4.0.10, o autor do pacote, identificado como blakesdev, removeu as versões comprometidas. O pacote foi carregado em 29 de outubro de 2025 e acumulou 31.398 downloads semanais, totalizando 47.405 downloads. Além disso, foi identificado outro pacote malicioso, “8jfiesaf83”, que também foi removido, mas teve 1.016 downloads. O script pós-instalação do pacote malicioso baixa um binário chamado “harness” de uma conta do GitHub que foi excluída, e executa um arquivo JavaScript que verifica variáveis do GitHub Actions, exfiltrando dados para um arquivo de texto em um subdomínio do GitHub. A Veracode classificou o ataque como direcionado, focando em repositórios do GitHub e uma conta de usuário sem atividade pública, possivelmente para testes.

Os ataques de cadeia de suprimentos habilitados por inteligência artificial (IA) cresceram 156% no último ano, evidenciando a falência das defesas tradicionais. O malware gerado por IA apresenta características inovadoras, como ser polimórfico, consciente do contexto e camuflado semanticamente, o que dificulta sua detecção. Casos reais, como a violação da 3CX que afetou 600 mil empresas, demonstram a gravidade da situação. O tempo médio para identificar uma violação aumentou para 276 dias, e as ferramentas de segurança tradicionais falham em responder a ameaças que se adaptam ativamente. Novas estratégias de defesa estão sendo implementadas, incluindo a segurança ciente de IA e a análise de comportamento. Além disso, a conformidade regulatória, como a Lei de IA da UE, impõe penalidades severas por violações. A situação exige ação imediata das organizações para se protegerem contra essas ameaças emergentes.

O malware GootLoader voltou a ser uma ameaça significativa, conforme relatado pela Huntress. Desde 27 de outubro de 2025, foram observadas três infecções, com duas delas resultando em invasões diretas e comprometimento de controladores de domínio em menos de 17 horas após a infecção inicial. A nova versão do GootLoader utiliza fontes WOFF2 personalizadas para ofuscar nomes de arquivos, dificultando a análise estática. O malware explora endpoints de comentários do WordPress para entregar cargas úteis em arquivos ZIP criptografados com XOR, cada um com chaves únicas. Além disso, a técnica de modificação do arquivo ZIP permite que ele se apresente como um arquivo .TXT inofensivo em ferramentas de análise, enquanto na verdade contém um arquivo JavaScript malicioso. O payload JavaScript é projetado para implantar um backdoor chamado Supper, que permite controle remoto e proxy SOCKS5. O uso de anúncios do Google para direcionar vítimas em busca de modelos legais para sites WordPress comprometidos também foi uma tática observada. A evolução do GootLoader demonstra que os atores de ameaças não precisam de exploits sofisticados, mas sim de ferramentas bem ofuscadas que atendem a seus objetivos.

Pesquisadores da CyberProof e outras equipes de segurança revelaram uma onda de ataques que se espalham pelo WhatsApp, mostrando conexões operacionais e técnicas entre os trojans bancários Maverick e Coyote. Essas campanhas visam principalmente usuários brasileiros, utilizando comunicações legítimas para induzir as vítimas a baixar arquivos ZIP maliciosos. Um exemplo é o arquivo NEW-20251001_152441-PED_561BCF01.zip, que disfarça um atalho como PDF, mas executa uma sequência de comandos ofuscados.

Após a abertura do arquivo, um script PowerShell é ativado, que baixa um segundo payload em .NET, realizando verificações para evitar ambientes de análise. O malware se conecta a servidores de comando e controle, permitindo o roubo de dados e a hijack de sessões do WhatsApp Web. A persistência é garantida através da criação de arquivos em diretórios de inicialização, assegurando a reinfecção após reinicializações.

O malware ClickFix evoluiu e agora utiliza vídeos tutoriais para auxiliar os usuários no processo de infecção, aumentando a eficácia de ataques baseados em engenharia social. Pesquisadores da Push Security identificaram que o malware consegue detectar o sistema operacional da vítima e apresenta um contador que pressiona o usuário a agir rapidamente. A infecção geralmente promete soluções para problemas de computador ou falsas verificações de identidade, mas resulta na instalação de malwares, como ladrões de informação. A nova versão do ClickFix é capaz de esconder comandos maliciosos e copiá-los automaticamente para a Área de Transferência da vítima, reduzindo as chances de erro humano. Além disso, a campanha utiliza páginas falsas de verificação de CAPTCHA e malvertising em pesquisas Google para disseminar o malware. A evolução do ClickFix representa um risco significativo, pois pode escapar de proteções antivírus tradicionais, funcionando totalmente no navegador. Especialistas alertam que a ameaça pode se expandir para outros sistemas operacionais, como Linux e macOS, aumentando a necessidade de vigilância e proteção.

Especialistas em cibersegurança alertam para um aumento significativo de ataques de phishing direcionados a usuários das agendas do Google Workspace e Microsoft 365. Esses ataques, conhecidos como ICS phishing, utilizam convites falsos para eventos de calendário, que podem contornar as medidas de segurança das empresas. Mesmo que um e-mail com o convite seja colocado em quarentena, o evento ainda aparece na agenda do usuário, aumentando o risco de cliques em links maliciosos. Os cibercriminosos utilizam táticas como anexar QR Codes que redirecionam para malwares ou solicitar que a vítima ligue para números de telefone suspeitos. Para proteger suas contas, recomenda-se que os usuários ajustem as configurações de segurança de suas agendas, como permitir apenas convites de remetentes conhecidos e ativar a autenticação de dois fatores. A situação é preocupante, pois a visibilidade dos convites maliciosos na agenda pode levar a infecções de malware e roubo de credenciais.

A equipe de pesquisa de ameaças da Socket identificou nove pacotes NuGet maliciosos que incorporam cargas destrutivas com ativação programada, representando uma ameaça significativa para desenvolvedores .NET e sistemas de controle industrial (ICS). Publicados sob o pseudônimo shanhai666 entre 2023 e 2024, esses pacotes utilizam padrões legítimos para ocultar códigos de sabotagem que podem encerrar aplicações ou corromper operações anos após a instalação. Cada pacote malicioso contém cerca de 20 linhas de lógica destrutiva em meio a milhares de linhas de funcionalidade legítima. Após datas de ativação predefinidas, como 8 de agosto de 2027 e 29 de novembro de 2028, há uma probabilidade de 20% de que o código chame Process.GetCurrentProcess().Kill(), resultando em falhas abruptas nas aplicações. O pacote mais perigoso, Sharp7Extend, ataca sistemas de comunicação Siemens S7 PLC, podendo interromper processos e sabotando operações de gravação sem que os operadores percebam erros visíveis. A campanha, que já acumulou quase 9.500 downloads, utiliza táticas de typosquatting e evasão de IA para evitar detecções automáticas, tornando a identificação e a atribuição de responsabilidade extremamente difíceis. As organizações são aconselhadas a auditar projetos imediatamente e a implementar ferramentas de verificação de dependências para mitigar esses riscos.

Pesquisadores de cibersegurança da Coreia do Sul confirmaram um novo ataque de remoção de dados remota que visa dispositivos Android, atribuído ao grupo de ameaça persistente avançada (APT) KONNI, vinculado à Coreia do Norte. O ataque utiliza o serviço Find My Device do Google para redefinir dispositivos e apagar dados de smartphones e tablets das vítimas. A campanha começou com ataques de spear-phishing, onde os atacantes se passaram por figuras confiáveis, como conselheiros psicológicos e ativistas de direitos humanos, distribuindo malware disfarçado de programas de alívio do estresse via KakaoTalk. Os atacantes conseguiram acesso persistente ao instalar arquivos MSI que continham scripts maliciosos. O malware, que inclui RATs como RemcosRAT e QuasarRAT, foi orquestrado através de uma infraestrutura de comando e controle (C2) hospedada no WordPress. Uma vez que as credenciais da conta do Google foram comprometidas, os atacantes puderam rastrear as localizações das vítimas em tempo real e emitir comandos de remoção de dados. Especialistas recomendam a mudança imediata de senhas e a ativação da autenticação em duas etapas para proteger contas do Google e prevenir abusos futuros.

O grupo de ciberespionagem associado à Coreia do Norte, conhecido como Konni, foi identificado em uma nova onda de ataques que visam dispositivos Android e Windows, com o objetivo de roubo de dados e controle remoto. Os atacantes se disfarçaram como conselheiros psicológicos e ativistas de direitos humanos, distribuindo malware disfarçado de programas de alívio do estresse. Uma das táticas mais preocupantes é a exploração dos serviços de rastreamento da Google, permitindo que os invasores redefinam remotamente dispositivos Android, resultando na exclusão não autorizada de dados pessoais. O ataque foi detectado em setembro de 2025 e marca a primeira vez que o grupo utiliza funções legítimas para realizar redefinições remotas. Os atacantes também empregaram e-mails de spear-phishing, imitando entidades legítimas, para obter acesso a computadores e propagar malware através de sessões do aplicativo KakaoTalk. O malware, denominado EndRAT, permite controle total sobre os sistemas comprometidos, incluindo a exfiltração de credenciais do Google. Além disso, o grupo Lazarus foi mencionado por utilizar uma versão atualizada do malware Comebacker em campanhas de espionagem direcionadas a organizações de defesa e aeroespaciais. Essas atividades destacam a crescente sofisticação e a ameaça representada por grupos de ciberespionagem da Coreia do Norte.

Recentemente, o cenário de cibersegurança tem se tornado cada vez mais complexo, com ataques cibernéticos se tornando mais sofisticados. Um exemplo alarmante é o uso do Hyper-V pela ameaça Curly COMrades, que esconde malware em máquinas virtuais Linux, permitindo que o código malicioso opere fora da visibilidade do sistema operacional host. Essa técnica contorna ferramentas de segurança de endpoint, evidenciando a evolução das táticas de ataque. Além disso, um novo ataque chamado ‘Whisper Leak’ permite que adversários passem a observar tópicos de conversas em modelos de linguagem, mesmo em tráfego criptografado, o que representa um risco significativo para a privacidade. Outro incidente relevante envolve a exploração de uma falha zero-day em dispositivos Samsung Galaxy, que permitiu a instalação de spyware Android em ataques direcionados em países como Iraque e Irã. Por fim, a fusão de grupos criminosos cibernéticos, como Scattered LAPSUS$ Hunters, indica uma coordenação crescente entre ameaças, aumentando a complexidade do combate ao cibercrime. Esses eventos ressaltam a necessidade urgente de que equipes de segurança se mantenham atualizadas e implementem medidas proativas para proteger suas redes.

Pesquisadores de cibersegurança revelaram um novo conjunto de três extensões associadas à campanha GlassWorm, que continua a visar o ecossistema do Visual Studio Code (VS Code). As extensões, ainda disponíveis para download, incluem ‘ai-driven-dev’, ‘adhamu.history-in-sublime-merge’ e ‘yasuyuky.transient-emacs’. A campanha, documentada pela Koi Security, utiliza extensões do Open VSX Registry e do Microsoft Extension Marketplace para roubar credenciais do GitHub e de carteiras de criptomoedas, além de implantar ferramentas de acesso remoto. O malware se destaca por usar caracteres Unicode invisíveis para ocultar código malicioso, permitindo a replicação e a propagação em um ciclo autônomo. Apesar da remoção das extensões maliciosas pelo Open VSX, a ameaça ressurgiu, utilizando a mesma técnica de ofuscação para evitar detecções. A infraestrutura de comando e controle (C2) baseada em blockchain permite que os atacantes atualizem seus métodos de ataque com facilidade. A análise revelou que o ator de ameaças é de língua russa e utiliza uma estrutura de C2 de código aberto chamada RedExt. A GlassWorm também ampliou seu foco para o GitHub, utilizando credenciais roubadas para inserir commits maliciosos em repositórios.

Pesquisadores em cibersegurança alertaram sobre uma grande campanha de phishing que visa o setor hoteleiro, utilizando e-mails maliciosos que se disfarçam como comunicações do Booking.com. O ataque, que começou em abril de 2025, utiliza a técnica de engenharia social conhecida como ClickFix para redirecionar os gerentes de hotéis a páginas fraudulentas, onde suas credenciais são coletadas. O malware PureRAT é implantado através de comandos PowerShell, permitindo acesso remoto e controle total sobre os sistemas comprometidos. Além disso, os atacantes também se comunicam com clientes de hotéis via WhatsApp ou e-mail, solicitando a confirmação de dados bancários por meio de links falsos. A informação obtida é frequentemente vendida em fóruns de cibercrime, refletindo a profissionalização das operações criminosas. A campanha é considerada ativa e sofisticada, com novas técnicas sendo constantemente desenvolvidas para enganar as vítimas.

A nova funcionalidade do Microsoft Teams, que permite que usuários iniciem chats com qualquer pessoa apenas utilizando um endereço de e-mail, levanta sérias preocupações de segurança. Essa atualização, que será lançada em novembro de 2025, visa facilitar a colaboração, mas especialistas em cibersegurança alertam que pode se tornar um vetor primário para campanhas de phishing e distribuição de malware. A capacidade de convidar participantes externos como convidados, sem processos de validação, amplia a superfície de ataque para agentes maliciosos. Os atacantes podem enviar convites falsos que parecem ser de parceiros de negócios legítimos, levando os usuários a clicarem em links maliciosos ou a revelarem credenciais sensíveis. Além disso, a possibilidade de exposição acidental de dados confidenciais aumenta, especialmente em ambientes de trabalho híbridos. Para mitigar esses riscos, recomenda-se que as organizações desativem a funcionalidade por meio do PowerShell e implementem autenticação multifatorial, auditorias regulares de políticas e treinamentos de conscientização sobre phishing. A Microsoft reconheceu as implicações de segurança e aconselhou as empresas a atualizarem suas documentações internas e treinarem suas equipes de suporte.

Pesquisadores de cibersegurança da Palo Alto Networks, através da Unidade 42, identificaram uma campanha sofisticada de spyware para Android, chamada LANDFALL, que explora uma vulnerabilidade crítica zero-day em dispositivos Samsung Galaxy. Essa vulnerabilidade, identificada como CVE-2025-21042, reside na biblioteca de processamento de imagens da Samsung e permite que atacantes realizem operações de vigilância avançadas. O malware foi disseminado por meio de imagens maliciosas enviadas pelo WhatsApp, que aparentavam ser arquivos comuns, mas continham código malicioso embutido. Essa técnica de ataque é semelhante a cadeias de exploração observadas anteriormente em dispositivos iOS. O LANDFALL é capaz de gravar áudio, interceptar chamadas, rastrear localização e coletar dados pessoais, como fotos e mensagens. A campanha, que começou em meados de 2024, foi descoberta enquanto os pesquisadores investigavam uma cadeia de exploração paralela para iOS. A Samsung lançou um patch para a vulnerabilidade em abril de 2025, mas a campanha permaneceu ativa por meses, destacando a complexidade das operações de spyware comercial. A análise sugere conexões com atores de ameaças do Oriente Médio, especialmente com o grupo Stealth Falcon, conhecido por operar nos Emirados Árabes Unidos.

Um novo relatório revela que 94% das empresas do setor de manufatura estão utilizando aplicações de inteligência artificial generativa (genAI), enquanto enfrentam um aumento nas ameaças cibernéticas. A adoção acelerada de IA tem ampliado a superfície de ataque, com organizações compartilhando documentos técnicos sensíveis com plataformas de IA. Embora o uso de contas pessoais de genAI tenha diminuído, a utilização de soluções aprovadas pelas organizações aumentou, refletindo uma maior conscientização sobre os riscos de governança de dados. No entanto, 67% das empresas estão conectadas a APIs que podem ser vulneráveis a compromissos. Os canais de distribuição de malware estão se aproveitando de serviços de nuvem confiáveis, com o Microsoft OneDrive sendo a plataforma mais explorada, seguida pelo GitHub e Google Drive. As empresas estão implementando controles mais rigorosos, mas a mistura de dados corporativos e pessoais continua a representar riscos significativos. Especialistas em cibersegurança recomendam inspeção rigorosa de downloads e políticas robustas de prevenção de perda de dados para mitigar esses riscos.

O uso de gatonets, TV Boxes e serviços de streaming piratas apresenta riscos significativos para os usuários, que podem se tornar alvos de diversas ameaças cibernéticas. Esses dispositivos, frequentemente não regulamentados, podem conter malwares que permitem o controle remoto do aparelho, expondo dados pessoais e financeiros dos usuários. Além disso, a instalação de malwares como o Triada pode transformar esses dispositivos em botnets, que são utilizados para ataques de DDoS, sobrecarregando serviços online e comprometendo a segurança de redes inteiras. O roubo de dados é outra preocupação, pois hackers podem acessar informações sensíveis, possibilitando fraudes e golpes de phishing. Por fim, a disseminação de spam a partir desses aparelhos pode afetar não apenas o usuário, mas também terceiros, ampliando o alcance de atividades ilegais. Para se proteger, é essencial optar por dispositivos certificados pela Anatel e desconfiar de ofertas de streaming gratuitas que não respeitam a legislação vigente.

Um novo relatório da Zscaler revela que 239 aplicativos maliciosos para Android disponíveis no Google Play foram baixados 42 milhões de vezes, expondo milhões de usuários a riscos financeiros. Esses aplicativos, frequentemente disfarçados como ferramentas de produtividade, têm facilitado fraudes por meio de pagamentos móveis, utilizando técnicas de engenharia social como phishing e smishing. A pesquisa indica um aumento de 67% nas transações de malware para Android em relação ao ano anterior, com o adware representando 69% das detecções. O setor de energia foi o mais afetado, com um aumento de 387% nas tentativas de ataque. Além disso, os ataques a dispositivos IoT e roteadores também cresceram, com os Estados Unidos sendo o país mais visado. O relatório destaca a necessidade urgente de uma abordagem de segurança em camadas, como o modelo Zero Trust, para mitigar esses riscos. Para proteger os dispositivos, recomenda-se manter o software atualizado, usar aplicativos antivírus confiáveis e revisar cuidadosamente as permissões dos aplicativos.

Uma nova campanha de engenharia social chamada ClickFix está utilizando vídeos maliciosos para induzir os usuários a se infectarem. Essa variante sofisticada imita o sistema de verificação de bots da Cloudflare com um realismo sem precedentes, apresentando um tutorial em vídeo que orienta as vítimas a executar comandos maliciosos. A página falsa de verificação inclui elementos de manipulação psicológica, como contadores em tempo real e instruções específicas para o sistema operacional da vítima. Em 90% dos casos observados, o código malicioso é copiado automaticamente para a área de transferência do usuário, exigindo apenas que a vítima cole e execute o comando. A campanha se destaca por direcionar usuários através do Google Search, ao invés de e-mails, com 80% das páginas ClickFix interceptadas acessadas via resultados de busca comprometidos. A evolução técnica inclui o uso de ‘cache smuggling’, que permite a execução local de arquivos maliciosos disfarçados como imagens JPG. A natureza auto-iniciada dos ataques ClickFix apresenta desafios únicos de detecção, pois a cópia do código ocorre dentro do sandbox do navegador, onde ferramentas de segurança tradicionais têm pouca visibilidade. Especialistas recomendam a implementação de capacidades de detecção baseadas em navegador para bloquear operações de cópia e colagem maliciosas antes da execução do payload.

Um ator de ameaças vinculado à China foi identificado como responsável por um ataque cibernético a uma organização sem fins lucrativos dos Estados Unidos, com o objetivo de estabelecer uma presença persistente na rede. O ataque, que ocorreu em abril de 2025, visou uma entidade envolvida na influência de políticas governamentais dos EUA sobre questões internacionais. Os invasores exploraram várias vulnerabilidades conhecidas, como CVE-2022-26134 (Atlassian) e CVE-2021-44228 (Apache Log4j), para obter acesso à rede. Após semanas de atividade, foram detectados comandos que testavam a conectividade e coletavam informações de configuração de rede. Os atacantes configuraram tarefas agendadas para garantir a persistência, utilizando um binário legítimo da Microsoft para executar um payload desconhecido. Além disso, foram observados componentes maliciosos relacionados a grupos de ameaças chineses conhecidos, como o Salt Typhoon. A análise sugere que os atacantes estavam interessados em comprometer controladores de domínio, o que poderia permitir a propagação do ataque em toda a rede. O relatório destaca a tendência de compartilhamento de ferramentas entre grupos de ameaças chineses, dificultando a atribuição precisa de atividades maliciosas.

Um relatório da Zscaler revelou que, entre junho de 2024 e maio de 2025, mais de 40 milhões de downloads de malwares foram realizados na Google Play Store, a loja de aplicativos para dispositivos Android. O estudo apontou um aumento de 67% nos malwares direcionados à plataforma, com destaque para spywares e trojans bancários. Os hackers estão mudando suas táticas, abandonando fraudes tradicionais com cartões de crédito em favor de métodos como phishing e smishing, aproveitando-se da engenharia social em vez de ataques diretos. Os malwares bancários, que realizaram 4,89 milhões de transações fraudulentas, mostraram um crescimento moderado de 3% em comparação ao ano anterior. A pesquisa identificou 239 tipos de malwares na loja, com os adwares representando 69% das detecções. Os países mais afetados foram Índia, Estados Unidos e Canadá, com um crescimento alarmante de ataques na Itália e Israel. A Zscaler recomenda que os usuários baixem aplicativos apenas de fontes confiáveis e mantenham seus dispositivos atualizados, evitando permissões excessivas a aplicativos desconhecidos.

O malware Herodotus, um novo trojan bancário para Android, está circulando como uma oferta de Malware-as-a-Service (MaaS), explorando engenharia social e abuso de permissões para contornar soluções de segurança tradicionais. Ele se espalha por campanhas de phishing via SMS, redirecionando as vítimas para páginas de download falsas, onde instalam o APK malicioso fora da Play Store oficial. Após a instalação e concessão de permissões críticas, o Herodotus assume o controle total do dispositivo, realizando operações bancárias não autorizadas enquanto os usuários estão logados em suas contas financeiras.

Um conjunto de nove pacotes maliciosos do NuGet foi identificado como capaz de implantar cargas úteis com atraso para sabotar operações de banco de dados e corromper sistemas de controle industrial. Publicados entre 2023 e 2024 por um usuário identificado como ‘shanhai666’, esses pacotes foram baixados quase 9.500 vezes. O pacote mais perigoso, Sharp7Extend, visa controladores lógicos programáveis (PLCs) industriais, utilizando dois mecanismos de sabotagem: a terminação aleatória de processos e falhas silenciosas de gravação que ocorrem entre 30 a 90 minutos após a instalação. Os pacotes maliciosos foram projetados para ativar códigos maliciosos em datas específicas, em 2027 e 2028, dificultando a resposta a incidentes e a investigação forense. A análise do código-fonte sugere que o autor pode ter origem chinesa, e a combinação de técnicas sofisticadas torna este ataque uma preocupação significativa para desenvolvedores e empresas que utilizam essas bibliotecas. A remoção dos pacotes do NuGet não elimina o risco, pois muitos desenvolvedores podem não estar cientes da introdução do malware em seus projetos.

Em julho de 2025, a empresa de cibersegurança Doctor Web foi acionada por uma organização estatal russa devido a atividades suspeitas de spam originadas de seus e-mails internos. Uma investigação forense revelou que a organização foi alvo de uma campanha de ciberespionagem sofisticada pelo grupo de hackers conhecido como Cavalry Werewolf. Os atacantes utilizaram anexos de phishing com variantes de malware para infiltrar a rede governamental e coletar dados sensíveis, incluindo documentos internos e detalhes de configuração da rede. O malware principal, BackDoor.ShellNET.1, estabeleceu conexões de shell reverso com servidores remotos, permitindo a execução de comandos. Após garantir o acesso, os invasores baixaram cargas adicionais usando ferramentas legítimas do sistema, como BITSADMIN, para escalar a intrusão e estabelecer persistência. A investigação revelou um vasto arsenal de ferramentas utilizadas, incluindo trojans e backdoors que permitiram a execução remota de comandos e movimentação lateral na rede. O grupo Cavalry Werewolf também se destacou pelo uso de comunicação externa e backdoors controlados via Telegram, mantendo acesso prolongado à rede comprometida. A análise mapeou as técnicas utilizadas ao framework MITRE ATT&CK, destacando a gravidade e a complexidade do ataque.