Malware

Pesquisadores de cibersegurança revelaram a descoberta de um novo pacote malicioso no NuGet Gallery, que se disfarça como uma biblioteca legítima da Stripe, visando o setor financeiro. O pacote, denominado StripeApi.Net, foi criado para imitar o Stripe.net, uma biblioteca autêntica com mais de 75 milhões de downloads. Carregado por um usuário chamado StripePayments em 16 de fevereiro de 2026, o pacote foi rapidamente removido após a denúncia. O site do pacote malicioso foi projetado para se assemelhar ao original, utilizando o mesmo ícone e uma descrição quase idêntica, apenas alterando referências de ‘Stripe.net’ para ‘Stripe-net’. Para aumentar sua credibilidade, o autor do ataque inflacionou artificialmente a contagem de downloads para mais de 180.000, distribuídos em 506 versões. Embora o pacote replicasse algumas funcionalidades da biblioteca legítima, ele modificava métodos críticos para coletar e transferir dados sensíveis, como o token da API da Stripe, para o atacante. A ReversingLabs, que identificou e reportou o pacote rapidamente, destacou que essa atividade representa uma mudança em relação a campanhas anteriores que visavam o ecossistema de criptomoedas. O incidente ressalta a necessidade de vigilância constante em bibliotecas de código aberto, especialmente em um cenário onde desenvolvedores podem inadvertidamente integrar pacotes comprometidos sem perceber.

Uma nova campanha de cibersegurança está atacando desenvolvedores por meio de repositórios maliciosos disfarçados de projetos legítimos do Next.js. De acordo com a equipe de pesquisa da Microsoft Defender, essa atividade se alinha a uma série de ameaças que utilizam iscas relacionadas a empregos para se integrar aos fluxos de trabalho dos desenvolvedores, aumentando a probabilidade de execução de código malicioso. Os atacantes criam repositórios falsos em plataformas confiáveis como o Bitbucket, usando nomes enganosos para atrair desenvolvedores em busca de oportunidades de trabalho.

Recentemente, diversas ameaças cibernéticas têm se intensificado, muitas vezes iniciando com interações comuns como anúncios ou convites de reuniões. Um destaque é a integração do assistente de IA Claude ao Kali Linux, que permite a execução de comandos em linguagem natural, facilitando o trabalho de hackers éticos. Além disso, o spyware ResidentBat, vinculado a autoridades bielorrussas, tem sido utilizado para monitorar jornalistas e a sociedade civil, acessando dados sensíveis como registros de chamadas e mensagens. Campanhas de phishing também estão em alta, com criminosos se passando por serviços de corretagem de criptomoedas, como a Bitpanda, para roubar informações pessoais. O relatório da CrowdStrike de 2026 revela que o tempo médio para um ataque cibernético se expandir de um acesso inicial para um movimento lateral caiu para 29 minutos, um aumento de 65% em relação ao ano anterior. Isso é impulsionado pelo uso de credenciais legítimas e pela adoção de tecnologias de IA por atacantes. Outro ponto crítico é a exploração de falhas em servidores Apache ActiveMQ, que têm sido utilizadas para implantar ransomware LockBit. Esses dados ressaltam a necessidade urgente de vigilância e atualização das defesas cibernéticas.

Um novo grupo de atividades maliciosas, identificado como UAT-10027, está atacando os setores de educação e saúde nos Estados Unidos desde dezembro de 2025. A campanha, monitorada pela Cisco Talos, visa implantar um backdoor inédito chamado Dohdoor, que utiliza a técnica DNS-over-HTTPS (DoH) para comunicação de comando e controle. Os pesquisadores de segurança Alex Karkins e Chetan Raghuprasad relataram que a campanha pode ter iniciado através de técnicas de phishing, levando à execução de um script PowerShell que baixa um script em lote do Windows. Este script, por sua vez, baixa uma biblioteca dinâmica maliciosa (DLL) chamada “propsys.dll” ou “batmeter.dll”. O Dohdoor é ativado por executáveis legítimos do Windows, utilizando a técnica de DLL side-loading, permitindo que o acesso backdoor seja utilizado para baixar e executar cargas adicionais diretamente na memória da vítima. A comunicação do malware é disfarçada como tráfego HTTPS legítimo, dificultando a detecção por sistemas de segurança tradicionais. Embora não se saiba quem está por trás do UAT-10027, há semelhanças táticas com o grupo Lazarus, conhecido por suas atividades de hacking, especialmente em setores como criptomoedas e defesa. No entanto, o foco atual em educação e saúde destaca uma nova abordagem que pode ter implicações significativas para a segurança cibernética.

O Google, por meio de seu Grupo de Inteligência de Ameaças (GTIG) e em parceria com a Mandiant, interrompeu uma campanha de espionagem global atribuída a um ator de ameaça suspeito de ser da China, que utilizava chamadas de API de SaaS para ocultar tráfego malicioso em ataques direcionados a redes de telecomunicações e governamentais. A campanha, que estava ativa desde pelo menos 2023, afetou 53 organizações em 42 países, com suspeitas de infecções em pelo menos 20 outros países. O vetor de acesso inicial é desconhecido, mas acredita-se que o grupo, identificado internamente como UNC2814, tenha explorado falhas em servidores web e sistemas de borda. A nova ferramenta utilizada, chamada ‘GRIDTIDE’, é um backdoor em C que abusa da API do Google Sheets para operações de comando e controle (C2) evasivas. O GRIDTIDE autentica-se em uma Conta de Serviço do Google usando uma chave privada codificada e realiza reconhecimento do host, coletando informações como nome de usuário e detalhes do sistema. Apesar de a Google não ter observado diretamente a exfiltração de dados, foi confirmado que o GRIDTIDE foi implantado em um sistema que continha informações pessoais sensíveis. A campanha foi desmantelada com a desativação de projetos do Google Cloud controlados pelo UNC2814 e a revogação do acesso à API do Google Sheets. Embora a interrupção tenha sido abrangente, espera-se que o grupo retome suas atividades em breve.

Uma nova campanha de cibersegurança está direcionada a desenvolvedores de software, utilizando iscas temáticas de emprego para disseminar repositórios maliciosos que se disfarçam como projetos legítimos do Next.js e materiais de avaliação técnica. O objetivo dos atacantes é obter execução remota de código (RCE) nas máquinas dos desenvolvedores, exfiltrar dados sensíveis e implantar cargas adicionais em sistemas comprometidos.

O Next.js, um framework popular de JavaScript, é utilizado para construir aplicações web e, ao clonar repositórios maliciosos, os desenvolvedores acionam scripts JavaScript que se executam automaticamente, baixando um backdoor do servidor do atacante. Os pesquisadores da Microsoft identificaram múltiplos gatilhos de execução, como arquivos de configuração do VS Code e scripts que são ativados ao iniciar o servidor.

O Google anunciou, em 25 de fevereiro de 2026, que colaborou com parceiros da indústria para desmantelar a infraestrutura de um grupo de espionagem cibernética suspeito de estar vinculado à China, identificado como UNC2814. Este grupo é responsável por violações em pelo menos 53 organizações em 42 países, com um histórico de ataques a governos e empresas de telecomunicações em diversas regiões do mundo. O relatório, elaborado pelo Google Threat Intelligence Group e pela Mandiant, destaca o uso de uma nova backdoor chamada GRIDTIDE, que utiliza a API do Google Sheets para ocultar o tráfego malicioso e facilitar a transferência de dados. Embora a forma de acesso inicial do grupo ainda esteja sendo investigada, há indícios de que eles exploram servidores web e sistemas de borda. O Google tomou medidas significativas, encerrando todos os projetos do Google Cloud controlados pelos atacantes e desativando a infraestrutura conhecida do UNC2814. A atividade global deste grupo, que se estende por mais de 70 países, representa uma séria ameaça para os setores de telecomunicações e governamentais, evidenciando a necessidade de vigilância contínua e medidas de segurança robustas.

Um relatório da empresa de cibersegurança ReliaQuest revela que o tempo médio para iniciar um ataque digital caiu para apenas 34 minutos em 2025, uma redução de 29% em relação ao ano anterior. O dado mais alarmante é que o tempo mínimo registrado para o início de um ataque foi de apenas quatro minutos, uma velocidade 85% maior do que em 2024. Essa aceleração nos ataques é atribuída ao uso crescente de ferramentas de inteligência artificial (IA) pelos cibercriminosos, que agora conseguem automatizar processos como reconhecimento de perfis em redes sociais e criação de roteiros mais convincentes para engenharia social. Grupos de ransomware são os principais usuários dessas tecnologias, com 80% deles utilizando IA para potencializar suas operações. Apesar desse cenário preocupante, especialistas em cibersegurança também podem se beneficiar da IA para detectar e mitigar ameaças rapidamente, adaptando informações às realidades específicas de suas organizações. O relatório destaca a importância de as empresas se prepararem para essa nova realidade, onde a velocidade e sofisticação dos ataques estão em constante evolução.

Pesquisadores de cibersegurança descobriram quatro pacotes NuGet maliciosos que visam desenvolvedores de aplicações web ASP.NET, com o objetivo de roubar dados sensíveis. A campanha, identificada pela empresa Socket, exfiltra dados de identidade do ASP.NET, como contas de usuários e atribuições de papéis, além de manipular regras de autorização para criar backdoors persistentes nas aplicações das vítimas. Os pacotes, publicados entre 12 e 21 de agosto de 2024, foram baixados mais de 4.500 vezes antes de serem removidos. O pacote NCryptYo atua como um dropper de primeira fase, estabelecendo um proxy local que redireciona o tráfego para um servidor de comando e controle (C2) controlado pelo atacante. Os pacotes DOMOAuth2_ e IRAOAuth2.0 são responsáveis por roubar dados de identidade e backdoor, enquanto o SimpleWriter_ permite a execução de processos ocultos. A análise sugere que todos os pacotes foram criados pelo mesmo ator de ameaça, visando comprometer as aplicações em vez das máquinas dos desenvolvedores. A continuidade da exfiltração de dados ocorre mesmo após a implantação das aplicações maliciosas em produção, permitindo que atacantes obtenham acesso administrativo. Este incidente destaca a vulnerabilidade da cadeia de suprimentos de software e a necessidade de vigilância constante na segurança de pacotes de código aberto.

Um novo serviço de cibercrime chamado 1Campaign está permitindo que criminosos cibernéticos executem anúncios maliciosos no Google que permanecem online por longos períodos, evitando a detecção de pesquisadores de segurança. O 1Campaign é um serviço de camuflagem que passa pelo processo de triagem do Google, mostrando conteúdo malicioso apenas para vítimas reais, enquanto pesquisadores e scanners automáticos são redirecionados para páginas inofensivas. A operação, que está ativa há pelo menos três anos, é gerida por um desenvolvedor conhecido como ‘DuppyMeister’. O sistema filtra visitantes em tempo real, direcionando o tráfego para páginas de destino com base em critérios como geografia e características do dispositivo. Em um caso, 99,4% dos visitantes foram bloqueados, resultando em uma taxa de sucesso de apenas 0,6%. O 1Campaign também oferece uma ferramenta para lançar campanhas maliciosas e benignas, permitindo que os operadores contornem as limitações das políticas do Google. Apesar das várias salvaguardas implementadas pelo Google, a plataforma ainda é utilizada para promover fraudes e malware, destacando a necessidade de vigilância contínua e práticas de segurança rigorosas.

Um ator de ameaça alinhado à Rússia foi identificado atacando uma instituição financeira europeia, utilizando engenharia social para potencialmente coletar informações ou realizar roubo financeiro. O ataque, atribuído ao grupo de cibercrime UAC-0050 (também conhecido como DaVinci Group), foi descrito como uma tentativa de expandir o foco das operações além da Ucrânia, atingindo entidades que apoiam o país em guerra.

O ataque começou com um e-mail de spear-phishing que simulava um domínio judicial ucraniano, levando o destinatário a baixar um arquivo malicioso. Este arquivo ZIP continha um arquivo RAR protegido por senha, que, por sua vez, continha um executável disfarçado de documento PDF. A execução do arquivo resultou na instalação de um software de acesso remoto, o Remote Manipulator System (RMS), que permite controle remoto e compartilhamento de arquivos.

Uma nova campanha de phishing está explorando uma vulnerabilidade do Excel para disseminar um trojan de acesso remoto (RAT) conhecido como ‘XWorm 7.2’. O malware é disfarçado como um arquivo JPEG, que na verdade contém um código malicioso. Ao abrir um arquivo Excel enviado por e-mail, a vítima é levada a executar um script que instala o malware, permitindo que os hackers tenham controle total sobre a máquina. Essa técnica utiliza engenharia social, com mensagens que parecem legítimas, solicitando pagamentos ou documentos que não existem. O XWorm 7.2, que já existe desde 2022, teve sua versão mais recente identificada em lojas do Telegram, mostrando uma evolução em sua sofisticação. O malware é capaz de roubar senhas, chaves de Wi-Fi e até mesmo coletar cookies do navegador. Além disso, ele pode espionar a vítima através da webcam e lançar ataques de negação de serviço (DDoS). A complexidade do XWorm 7.2 torna sua remoção extremamente difícil, pois ele se oculta em processos legítimos do Windows, dificultando a detecção por antivírus.

Especialistas da Kaspersky identificaram uma nova ameaça para usuários de dispositivos Android: um malware chamado Keenadu, que pode vir pré-instalado no sistema operacional. Este software malicioso é capaz de roubar dados sensíveis, como senhas e informações bancárias, sem que o usuário perceba. O Keenadu se infiltra no firmware dos dispositivos através de pacotes de atualização OTA e também pode ser instalado por meio de fontes não oficiais, incluindo a Play Store. A Kaspersky alerta que a remoção do malware é extremamente difícil e requer ajuda especializada. Até o momento, mais de 13 mil dispositivos foram afetados, com vítimas localizadas em países como Brasil, Japão, Rússia, Holanda e Alemanha. O Keenadu tem acesso completo aos dados do dispositivo, permitindo que atacantes realizem operações ilegais, como a instalação de aplicativos sem consentimento do usuário. A origem do malware ainda é desconhecida, mas ele tem sido utilizado principalmente para fraudes publicitárias.

O grupo de ciberameaças conhecido como UnsolicitedBooker tem direcionado suas atividades para empresas de telecomunicações no Quirguistão e no Tajiquistão, após uma série de ataques anteriores a entidades na Arábia Saudita. Os ataques utilizam duas backdoors distintas, chamadas LuciDoor e MarsSnake, conforme relatado pela Positive Technologies. A UnsolicitedBooker, que foi documentada pela primeira vez pela ESET em maio de 2025, é considerada ativa desde março de 2023 e tem um histórico de ataques a organizações na Ásia, África e Oriente Médio. Recentemente, os ataques foram realizados através de e-mails de phishing que continham documentos do Microsoft Office, que, ao serem abertos, solicitavam que os usuários ‘ativassem o conteúdo’ para executar macros maliciosas. Essas macros implantavam um carregador de malware chamado LuciLoad, que, por sua vez, instalava a backdoor LuciDoor. Em um ataque posterior, o grupo utilizou um carregador diferente, o MarsSnakeLoader, para implantar a backdoor MarsSnake. A Positive Technologies também observou que o MarsSnake foi utilizado em ataques direcionados à China. O uso de ferramentas raras de origem chinesa e a possibilidade de um roteador hackeado servir como servidor de comando e controle destacam a sofisticação das operações do grupo.

Pesquisadores de cibersegurança revelaram uma nova campanha de cryptojacking que utiliza pacotes de software pirata como iscas para implantar um programa minerador XMRig em sistemas comprometidos. A análise do malware indica uma infecção sofisticada em múltiplas etapas, priorizando a maximização da taxa de hash de mineração de criptomoedas, o que pode desestabilizar o sistema da vítima. O ataque começa com engenharia social, onde usuários são enganados a baixar executáveis maliciosos disfarçados de softwares legítimos. O malware possui capacidades semelhantes a vermes, espalhando-se por dispositivos de armazenamento externo e permitindo movimento lateral, mesmo em ambientes isolados. Além disso, ele utiliza um driver vulnerável para escalar privilégios e garantir persistência. A campanha foi projetada para operar até uma data limite específica, 23 de dezembro de 2025, sugerindo um planejamento estratégico por parte dos atacantes. A atividade de mineração foi observada em novembro de 2025, com um pico em dezembro. Este caso destaca a inovação contínua do malware comercial, combinando engenharia social, disfarces de software legítimo e exploração de vulnerabilidades de kernel.

O grupo de ameaças patrocinado pelo Estado russo, conhecido como APT28, lançou uma nova campanha chamada Operação MacroMaze, visando entidades específicas na Europa Central e Ocidental. De acordo com a equipe de inteligência de ameaças LAB52, a atividade ocorreu entre setembro de 2025 e janeiro de 2026. A campanha utiliza e-mails de spear-phishing para distribuir documentos maliciosos que contêm macros projetadas para explorar serviços legítimos para a exfiltração de dados.

Pesquisadores da ESET identificaram o PromptSpy, o primeiro malware para Android que utiliza inteligência artificial generativa para aprimorar suas capacidades de ataque. Embora ainda seja uma prova de conceito, o malware é projetado para fornecer controle remoto sobre dispositivos infectados, utilizando um módulo de computação de rede virtual (VNC). O PromptSpy interage com o chatbot Gemini da Google, enviando comandos em linguagem natural para manipular o dispositivo atacado. Isso permite que os hackers adaptem seus ataques a diferentes versões do sistema operacional Android.

Pesquisadores da Threat Fabric identificaram um novo trojan bancário chamado Massiv, que está sendo distribuído por meio de aplicativos disfarçados de IPTV. Este malware tem sido utilizado em campanhas fraudulentas em diversos países, especialmente no sul da Europa. O Massiv possui funcionalidades avançadas, como overlay, keylogging e interceptação de SMS, permitindo que os hackers capturem credenciais e dados financeiros das vítimas. Um dos alvos do ataque foi o aplicativo gov.pt, utilizado em Portugal para autenticação digital, o que levanta preocupações sobre a segurança de informações sensíveis. Os hackers podem abrir contas em nome das vítimas e realizar transações fraudulentas, utilizando um canal WebSocket para controle remoto dos dispositivos infectados. A ameaça é particularmente atrativa para os usuários devido à promessa de serviços premium em aplicativos IPTV, levando-os a baixar APKs maliciosos. Embora o Massiv ainda não seja um malware-as-a-service, há indícios de que essa possibilidade possa surgir em breve, aumentando a disseminação do malware.

Pesquisadores de cibersegurança revelaram uma campanha ativa de worm na cadeia de suprimentos, denominada SANDWORM_MODE, que utiliza pelo menos 19 pacotes npm maliciosos para roubo de credenciais e chaves de criptomoedas. Os pacotes, publicados por dois aliases, contêm código malicioso que coleta informações do sistema, tokens de acesso e segredos de ambiente, além de se propagar por meio de identidades roubadas do npm e GitHub. A campanha inclui um módulo chamado ‘McpInject’, que visa assistentes de codificação baseados em IA, injetando um servidor de protocolo de contexto malicioso (MCP) em suas configurações. O malware também possui um mecanismo polimórfico para evitar detecções, sugerindo que os operadores pretendem lançar versões futuras. Os usuários que instalaram esses pacotes devem removê-los imediatamente, rotacionar tokens e revisar arquivos de configuração para alterações inesperadas. A situação é crítica, pois a campanha representa um alto risco de comprometimento ativo, exigindo atenção imediata dos profissionais de segurança da informação.

Nesta semana, o cenário de cibersegurança apresenta uma série de incidentes e vulnerabilidades críticas. Um dos destaques é a exploração de uma falha de segurança de gravidade máxima no Dell RecoverPoint para Máquinas Virtuais, identificada como CVE-2026-22769, que permite a execução de comandos como root e a instalação de backdoors. Além disso, dois ex-engenheiros do Google foram indiciados por roubo de segredos comerciais, transferindo informações sensíveis para o Irã. Outro ponto alarmante é a descoberta do malware PromptSpy, que utiliza inteligência artificial para garantir sua persistência em dispositivos Android, visando usuários na Argentina. Também foi identificado um novo malware chamado Keenadu, embutido no firmware de dispositivos Android, que pode coletar dados e controlar remotamente os aparelhos. Por fim, um estudo questionou as alegações de ‘zero knowledge’ de gerenciadores de senhas como Bitwarden e LastPass, revelando que, em certas circunstâncias, dados podem ser acessados por insiders maliciosos. Esses eventos ressaltam a necessidade urgente de vigilância e atualização de sistemas para mitigar riscos.

O grupo de hackers iraniano MuddyWater, também conhecido como Earth Vetala, iniciou uma nova campanha chamada Operação Olalampo, visando organizações e indivíduos na região do Oriente Médio e Norte da África (MENA). Desde 26 de janeiro de 2026, a campanha tem utilizado novas famílias de malware, como o downloader GhostFetch e o backdoor CHAR, além de um implante avançado chamado GhostBackDoor. Os ataques geralmente começam com e-mails de phishing que contêm documentos do Microsoft Office com macros maliciosas, permitindo que os atacantes assumam o controle remoto dos sistemas.

O Arkanix Stealer, uma operação de malware voltada para roubo de informações, foi promovido em fóruns da dark web no final de 2025 e parece ter sido desenvolvido com assistência de inteligência artificial. O projeto, que incluiu um painel de controle e um servidor no Discord para interação com os usuários, foi descontinuado pelo autor apenas dois meses após seu lançamento. O malware apresenta uma arquitetura modular e recursos anti-análise, permitindo a coleta de informações do sistema, dados de navegadores e carteiras de criptomoedas de 22 navegadores diferentes. Além disso, é capaz de extrair tokens 0Auth2 de navegadores baseados em Chromium e roubar credenciais de plataformas como Telegram e Discord. A versão premium, escrita em C++, oferece funcionalidades adicionais, como roubo de credenciais RDP e captura de tela. Os pesquisadores da Kaspersky sugerem que o Arkanix foi um experimento de desenvolvimento rápido, visando lucros financeiros imediatos, o que dificulta sua detecção e rastreamento. A operação levanta preocupações sobre a utilização de assistentes de linguagem para o desenvolvimento de malware, destacando a necessidade de vigilância constante e medidas de segurança robustas.

Recentemente, foi identificado que mais de um bilhão de smartphones Android, representando cerca de 42% dos dispositivos ativos, estão vulneráveis a malwares devido a falhas de segurança que não serão corrigidas. Essa situação afeta principalmente aparelhos que operam com Android 12 ou versões anteriores, que não receberão mais atualizações de segurança. A fragmentação do sistema operacional entre diferentes fabricantes dificulta a aplicação de correções em massa, tornando esses dispositivos alvos fáceis para hackers.

Cibercriminosos estão utilizando páginas falsas de CAPTCHA para disseminar malware, explorando uma vulnerabilidade no Windows. O ataque envolve a clonagem de páginas de CAPTCHA legítimas, levando os usuários a baixar um software malicioso conhecido como Stealthy StealC Information Stealer. O método é particularmente insidioso, pois as vítimas são induzidas a executar comandos no teclado que instalam o malware sem que percebam. Após abrir a janela ‘Executar’ do Windows, os usuários são instruídos a colar um comando malicioso que, ao ser executado, carrega um script do PowerShell, permitindo a instalação do malware. O objetivo principal é roubar informações de login de serviços populares, como Outlook, Steam e carteiras de criptomoedas. Especialistas alertam que qualquer solicitação para executar comandos desconhecidos em páginas de CAPTCHA deve ser vista com desconfiança, pois pode resultar em comprometimento de dados pessoais. A proteção contra esse tipo de ataque envolve a conscientização sobre as instruções que podem ser solicitadas em páginas de segurança, evitando a execução de comandos desconhecidos.

Recentemente, o programador Don Ho lançou a versão 8.9.2 do Notepad++, que corrige uma falha crítica de segurança que permitia a hackers invadir o mecanismo de atualização do editor de códigos e inserir malwares. Essa vulnerabilidade, identificada como CVE-2026-25927, possibilitava a execução arbitrária de códigos no contexto do aplicativo, afetando usuários em diversas regiões, incluindo América do Sul, Austrália e Europa. A nova versão implementa medidas de segurança robustas, como a verificação da assinatura do instalador e a remoção de componentes inseguros, como o libcurl.dll, que poderia ser explorado para carregamento lateral de DLLs. Pesquisadores de segurança, como os da Rapid7 e Kaspersky, relataram que a backdoor chamada Chrysalis foi utilizada por um grupo hacker chinês, o Lotus Panda, desde junho de 2025. Diante disso, é altamente recomendável que os usuários atualizem imediatamente para a versão 8.9.2 e verifiquem a origem do instalador para garantir a segurança de seus sistemas.

O FBI divulgou um alerta sobre o aumento significativo de ataques conhecidos como ‘jackpotting’ em caixas eletrônicos nos Estados Unidos, que resultaram em um roubo de mais de 20 milhões de dólares nos últimos anos. Esses ataques envolvem a instalação de malware, especificamente a variante Ploutus, que permite que os criminosos dispensem dinheiro dos caixas eletrônicos sem a necessidade de cartões ou autorizações bancárias. Desde 2020, foram registrados cerca de 1.900 casos, com 700 ocorrências apenas em 2025, representando aproximadamente 37% de todos os incidentes. Os atacantes utilizam chaves genéricas amplamente disponíveis para abrir os caixas eletrônicos, onde podem remover o disco rígido, infectá-lo com malware ou substituí-lo por um já comprometido. É importante destacar que, nesses ataques, os clientes dos bancos não são os alvos, mas sim as instituições financeiras, já que os criminosos não precisam de informações pessoais dos usuários. O FBI recomenda que os bancos e instituições financeiras adotem medidas de segurança mais rigorosas para proteger seus caixas eletrônicos contra essas ameaças.

Recentemente, a Proton alertou sobre a presença de extensões falsas do Proton VPN na Chrome Web Store, que permaneceram ativas por semanas antes de serem removidas. A empresa notificou o Google pelo menos três vezes neste ano sobre essas extensões fraudulentas, que foram capazes de passar pelos processos de verificação da loja. Os atacantes utilizaram o nome e a marca da Proton para enganar os usuários e instalar softwares maliciosos, com o objetivo de roubar credenciais de login e monitorar atividades de navegação. A Proton criticou a lentidão do processo de remoção, afirmando que cada minuto que essas extensões permanecem online representa um risco à segurança de centenas de milhares de pessoas. O alerta destaca a vulnerabilidade dos usuários a ferramentas maliciosas que se disfarçam como aplicativos legítimos, especialmente em um cenário onde a demanda por VPNs confiáveis é alta, como na Rússia. Para se proteger, a Proton recomenda que os usuários acessem diretamente o site oficial da empresa para baixar suas ferramentas, em vez de buscar na loja de extensões. Além disso, é importante verificar a identidade do desenvolvedor e os tipos de permissões solicitadas pelas extensões antes da instalação.

Pesquisadores de cibersegurança revelaram detalhes sobre uma nova campanha chamada ClickFix, que utiliza sites legítimos comprometidos para distribuir um novo trojan de acesso remoto (RAT) conhecido como MIMICRAT. A campanha é caracterizada por sua sofisticação operacional, envolvendo uma cadeia de PowerShell em múltiplas etapas que contorna mecanismos de segurança do Windows, como ETW e AMSI, antes de implantar um loader baseado em Lua. O MIMICRAT, desenvolvido em C++, oferece suporte a funcionalidades avançadas, como a manipulação de tokens do Windows e tunelamento SOCKS5, permitindo um controle abrangente após a exploração. O ataque começa com a injeção de código JavaScript malicioso em um serviço legítimo de validação de BIN, que redireciona a vítima para uma página falsa de verificação do Cloudflare. A execução de comandos PowerShell leva à comunicação com um servidor de comando e controle (C2) para baixar scripts adicionais, culminando na entrega do MIMICRAT. A campanha é capaz de se adaptar a 17 idiomas, aumentando seu alcance. Os alvos incluem uma universidade nos EUA e usuários de língua chinesa, indicando uma abordagem oportunista e ampla.

O FBI alertou que os americanos perderam mais de 20 milhões de dólares no ano passado devido a um aumento significativo nos ataques de ‘jackpotting’ em caixas eletrônicos, onde criminosos utilizam malware para forçar as máquinas a liberar dinheiro. Em um alerta divulgado na quinta-feira, o FBI informou que mais de 700 incidentes de jackpotting foram registrados no último ano, um aumento considerável em relação aos cerca de 1.900 incidentes reportados desde 2020. Esses ataques, que podem ser realizados em minutos, visam a camada de software que controla o hardware físico do caixa eletrônico, utilizando ferramentas maliciosas como o malware Ploutus. O FBI explicou que, ao explorar o eXtensions for Financial Services (XFS), o malware permite que os criminosos emitam comandos diretamente ao caixa eletrônico, dispensando a autorização do banco. Para instalar o malware, os atacantes geralmente obtêm acesso físico ao caixa eletrônico, utilizando chaves genéricas. O FBI recomendou que as instituições financeiras realizem auditorias em seus sistemas de caixas eletrônicos para detectar o uso não autorizado de armazenamento removível e processos não autorizados. O alerta surge após uma série de prisões de membros da gangue Tren de Aragua, envolvidos em um esquema de jackpotting que resultou em milhões de dólares em perdas.

Pesquisadores da ESET identificaram o primeiro malware Android conhecido a utilizar IA generativa em sua execução, denominado ‘PromptSpy’. Este malware se aproveita do modelo Gemini da Google para adaptar sua persistência em diferentes dispositivos. A descoberta ocorreu em fevereiro de 2026, com a primeira versão, chamada VNCSpy, sendo detectada em janeiro do mesmo ano. O PromptSpy utiliza a IA para enviar comandos que permitem ’travar’ aplicativos na lista de aplicativos recentes, dificultando sua remoção. Essa técnica é especialmente eficaz, pois varia entre fabricantes, e a IA ajuda a automatizar o processo. Além de sua capacidade de persistência, o PromptSpy atua como spyware, permitindo acesso remoto completo aos dispositivos infectados, podendo capturar senhas, gravar a tela e interceptar informações sensíveis. Para dificultar a desinstalação, o malware sobrepõe botões invisíveis sobre a interface do usuário. Embora a ESET ainda não tenha observado o PromptSpy em sua telemetria, a presença de domínios dedicados para distribuição sugere que ele pode ter sido utilizado em ataques reais. Essa nova abordagem de malware destaca como a IA generativa pode ser utilizada para aprimorar a eficácia de ataques cibernéticos, representando uma preocupação crescente para a segurança digital.

O Google anunciou que, até 2025, bloqueou mais de 255 mil aplicativos Android que tentavam obter acesso excessivo a dados sensíveis dos usuários e rejeitou mais de 1,75 milhão de aplicativos por violação de políticas. Em sua revisão anual de segurança do Android e Google Play, a empresa destacou a eficácia das medidas de proteção implementadas para manter um ecossistema seguro. Para isso, foram realizados mais de 10 mil checagens de segurança em aplicativos publicados, e a detecção de padrões maliciosos foi aprimorada com a integração de modelos de IA generativa. Entre as ações de proteção, o Google baniu mais de 80 mil contas de desenvolvedores considerados ruins e bloqueou 266 milhões de tentativas de instalação de aplicativos arriscados. O Play Protect, que verifica diariamente mais de 350 bilhões de aplicativos, identificou mais de 27 milhões de aplicativos maliciosos que foram instalados fora do Google Play. Além disso, novas proteções contra ataques de ’tapjacking’ foram adicionadas no Android 16. O Google continuará investindo em defesas baseadas em IA e expandindo a verificação de desenvolvedores para prevenir violações de políticas antes da publicação dos aplicativos.

Pesquisadores de cibersegurança identificaram o PromptSpy, o primeiro malware para Android que utiliza o chatbot de inteligência artificial Gemini, da Google, para executar suas funções maliciosas e garantir sua persistência no dispositivo. O PromptSpy é capaz de capturar dados da tela de bloqueio, bloquear tentativas de desinstalação, coletar informações do dispositivo, tirar capturas de tela e gravar a atividade da tela em vídeo. O malware se comunica com um servidor de comando e controle para receber instruções sobre como interagir com a interface do usuário, utilizando a IA para adaptar suas ações a diferentes dispositivos e versões do sistema operacional. O principal objetivo do PromptSpy é implantar um módulo VNC que permite acesso remoto ao dispositivo da vítima. A análise sugere que a campanha é motivada financeiramente e direcionada a usuários na Argentina, com indícios de que o malware foi desenvolvido em um ambiente de língua chinesa. O PromptSpy é distribuído por um site dedicado e não está disponível no Google Play, o que aumenta o risco de infecção para os usuários desavisados.

Matthew Abiodun Akande, um cidadão nigeriano de 37 anos, foi condenado a oito anos de prisão por hackear várias empresas de preparação de impostos em Massachusetts e apresentar declarações fiscais fraudulentas que buscavam mais de US$ 8,1 milhões em reembolsos. Akande foi preso em outubro de 2024 no Aeroporto de Heathrow, em Londres, e extraditado para os Estados Unidos em março de 2025. Ele foi indiciado em julho de 2022, enquanto residia no México.

O cenário de cibersegurança continua a evoluir rapidamente, com novas ameaças e táticas emergindo constantemente. O Google lançou a versão beta do Android 17, que inclui melhorias significativas em privacidade e segurança, como a descontinuação do tráfego em texto claro e suporte à criptografia híbrida HPKE. Por outro lado, o ransomware LockBit 5.0 se destaca por suas técnicas avançadas de evasão e suporte a múltiplas plataformas, incluindo Proxmox, um alvo crescente entre empresas. Além disso, novas campanhas de engenharia social, como ClickFix, estão explorando usuários de macOS através de técnicas de obfuscação, levando à instalação de malware e roubo de credenciais. A detenção de um suspeito na Polônia, ligado ao grupo de ransomware Phobos, e o aumento de ataques a organizações industriais, com um crescimento de 49% em grupos de ransomware focados nesse setor, destacam a gravidade da situação. A Microsoft também enfrentou um problema de segurança com o Copilot, que resumiu e-mails confidenciais sem permissão, violando políticas de proteção de dados. Esses eventos ressaltam a necessidade urgente de que as organizações reavaliem suas estratégias de segurança e resposta a incidentes.

Um novo malware bancário para Android, denominado Massiv, está se disfarçando como um aplicativo de IPTV para roubar identidades digitais e acessar contas bancárias online. O malware utiliza sobreposições de tela e keylogging para obter dados sensíveis e pode assumir o controle remoto de dispositivos comprometidos. Pesquisadores da ThreatFabric observaram uma campanha que visava um aplicativo do governo português, que se conecta ao sistema de autenticação digital Chave Móvel Digital. Os dados obtidos podem ser usados para contornar verificações de KYC e acessar serviços bancários e públicos. O Massiv permite que os operadores controlem remotamente o dispositivo infectado, utilizando modos de transmissão ao vivo e extração de dados estruturados. A pesquisa também destacou uma tendência crescente de uso de aplicativos IPTV como iscas para infecções por malware, especialmente em países como Portugal, Espanha, França e Turquia. Os usuários de Android são aconselhados a baixar apenas aplicativos de fontes confiáveis e a manter o Play Protect ativo para proteger seus dispositivos.

Pesquisadores de cibersegurança revelaram detalhes sobre a campanha CRESCENTHARVEST, que parece ter como alvo apoiadores dos protestos no Irã, visando roubo de informações e espionagem a longo prazo. A Acronis Threat Research Unit (TRU) observou atividades suspeitas a partir de 9 de janeiro, onde ataques foram projetados para entregar um trojan de acesso remoto (RAT) e um ladrão de informações. Os ataques utilizam arquivos .LNK disfarçados como imagens ou vídeos relacionados aos protestos, aumentando a credibilidade para atrair iranianos que falam farsi. Embora a origem da campanha não tenha sido atribuída, acredita-se que seja obra de um grupo de ameaças alinhado ao Irã. O vetor de acesso inicial ainda não é conhecido, mas suspeita-se do uso de spear-phishing e engenharia social. Os arquivos maliciosos contêm código PowerShell que baixa um arquivo ZIP com um executável legítimo da Google, que é utilizado para realizar atividades maliciosas, como roubo de credenciais e dados do sistema. A campanha CRESCENTHARVEST representa uma continuidade de operações de espionagem cibernética de estado-nação, refletindo táticas bem estabelecidas de acesso inicial e coleta de dados.

Pesquisadores de cibersegurança revelaram detalhes sobre um novo trojan para Android chamado Massiv, que facilita ataques de tomada de controle de dispositivos (DTO) visando o roubo financeiro. O malware se disfarça como aplicativos IPTV inofensivos, atraindo usuários em busca de serviços de TV online. Segundo a ThreatFabric, o Massiv permite que os operadores controlem remotamente dispositivos infectados, realizando transações fraudulentas nas contas bancárias das vítimas.

Entre suas funcionalidades, o Massiv utiliza técnicas como streaming de tela, keylogging e sobreposições falsas em aplicativos financeiros, solicitando que os usuários insiram suas credenciais. Um dos alvos identificados foi o aplicativo gov.pt, que gerencia documentos de identificação em Portugal. Os criminosos têm usado as informações capturadas para abrir contas bancárias em nome das vítimas, facilitando atividades como lavagem de dinheiro.

A ascensão da Inteligência Artificial Generativa (GenAI) está transformando o cenário da cibersegurança, permitindo que hackers desenvolvam malware de forma mais rápida e complexa. Um relatório da Palo Alto, intitulado ‘Unit 42 Global Incident Response Report’, revela que o tempo necessário para exfiltração de dados caiu de cinco horas para apenas 72 minutos, um aumento significativo na eficiência dos ataques. O navegador continua sendo o principal alvo, com 48% dos incidentes ocorrendo nesse ambiente, mas a complexidade dos ataques está crescendo, com 87% das intrusões abrangendo múltiplas superfícies de ataque. Além disso, fraquezas de identidade e ataques à cadeia de suprimentos estão se tornando comuns, com 65% dos acessos iniciais resultantes de engenharia social. Os ataques a aplicações SaaS aumentaram quase quatro vezes desde 2022, representando 23% de todos os ataques. Os operadores de ransomware estão mudando seu foco de criptografia para a extração de dados, o que torna a detecção mais difícil para os defensores. Essa evolução no uso da IA pelos atacantes representa um desafio crescente para a comunidade de cibersegurança, exigindo uma resposta mais robusta e ágil das organizações.

Pesquisadores da Check Point, uma empresa de cibersegurança, descobriram que assistentes de IA como Grok e Microsoft Copilot podem ser explorados para intermediar atividades de comando e controle (C2) em ataques cibernéticos. A técnica envolve o uso de uma interface web de IA para relatar comunicações entre um servidor C2 e a máquina alvo, permitindo que atacantes enviem comandos e recuperem dados roubados sem serem detectados. O malware se comunica com o assistente de IA através do componente WebView2 do Windows 11, que pode ser embutido no próprio malware caso não esteja presente no sistema da vítima. A pesquisa demonstrou que essa abordagem cria um canal de comunicação bidirecional, confiável para ferramentas de segurança da internet, dificultando a detecção. O uso de serviços de IA para C2 elimina a necessidade de contas ou chaves de API, tornando a rastreabilidade e a aplicação de bloqueios mais complicadas. Embora existam salvaguardas para bloquear trocas maliciosas, os pesquisadores afirmam que essas podem ser facilmente contornadas através da criptografia de dados. A Check Point alertou a Microsoft e a xAI sobre suas descobertas, mas ainda não houve resposta sobre a vulnerabilidade do Copilot.

O Notepad++ lançou uma atualização de segurança, versão 8.9.2, para corrigir vulnerabilidades exploradas por um grupo de ameaças avançadas da China. O ataque permitiu que os invasores sequestrassem o mecanismo de atualização do software, entregando malware a alvos específicos. A nova versão implementa um design de ‘dupla segurança’, que inclui a verificação do instalador assinado baixado do GitHub e a verificação do XML assinado retornado pelo servidor de atualizações. Além disso, foram feitas alterações significativas no componente de atualização automática, WinGUp, como a remoção de riscos de side-loading de DLLs e a restrição da execução de plugins apenas a programas assinados com o mesmo certificado. A atualização também corrige uma vulnerabilidade crítica (CVE-2026-25926) que poderia permitir a execução de código arbitrário. O incidente foi detectado após um comprometimento no provedor de hospedagem, que redirecionou usuários para servidores maliciosos desde junho de 2025. Usuários do Notepad++ são aconselhados a atualizar para a versão mais recente e garantir que os instaladores sejam baixados do domínio oficial.

Um grupo de hackers suspeito de ser apoiado pelo Estado chinês, conhecido como UNC6201, está explorando uma vulnerabilidade crítica na solução Dell RecoverPoint para Máquinas Virtuais, que é amplamente utilizada para backup e recuperação de máquinas virtuais VMware. A vulnerabilidade, identificada como CVE-2026-22769, envolve credenciais hardcoded que permitem a um atacante remoto não autenticado obter acesso não autorizado ao sistema operacional subjacente. A Dell recomenda que seus clientes atualizem ou apliquem remediações imediatamente. Após comprometer a rede de uma vítima, o grupo UNC6201 implantou diversos malwares, incluindo um novo backdoor chamado Grimbolt, que é mais rápido e mais difícil de analisar do que seu antecessor, Brickstorm. Além disso, os atacantes utilizaram técnicas inovadoras, como a criação de interfaces de rede ocultas, conhecidas como Ghost NICs, para se moverem furtivamente pela infraestrutura virtualizada das vítimas. A pesquisa também sugere que há sobreposições entre UNC6201 e outro grupo de ameaças chinês, UNC5221, que tem um histórico de exploração de vulnerabilidades zero-day. A Dell aconselha seus clientes a seguirem as orientações de remediação para bloquear os ataques em andamento.

Pesquisadores em cibersegurança revelaram que assistentes de inteligência artificial (IA) com capacidades de navegação na web podem ser utilizados como relés de comando e controle (C2) por atacantes. Essa técnica, chamada de ‘IA como proxy C2’, foi demonstrada em ferramentas como Microsoft Copilot e xAI Grok. O método permite que os atacantes se misturem a comunicações empresariais legítimas, dificultando a detecção. Ao explorar o acesso anônimo à web e prompts de navegação, os atacantes podem gerar fluxos de trabalho de reconhecimento, automatizar ações e decidir dinamicamente os próximos passos durante uma intrusão. O uso de IA como proxy C2 transforma assistentes em canais de comunicação bidirecionais, permitindo que comandos sejam emitidos e dados da vítima sejam extraídos sem a necessidade de chaves de API ou contas registradas. Essa abordagem se assemelha a campanhas de ataque que utilizam serviços confiáveis para distribuição de malware. Para que essa técnica funcione, o invasor deve ter previamente comprometido uma máquina e instalado malware que utilize o assistente de IA como canal de C2. A evolução dessa técnica representa um risco significativo, pois pode automatizar decisões operacionais em tempo real, aumentando a eficácia dos ataques.

Pesquisadores de segurança da Hudson Rock relataram o primeiro ataque de malware infostealer direcionado ao OpenClaw, um assistente de IA de código aberto. O ataque resultou na exfiltração de arquivos de configuração que contêm segredos sensíveis, como chaves de API e tokens de autenticação, que podem permitir acesso a aplicativos conectados, como Telegram e calendários. O OpenClaw, que permite a automação de tarefas, exige que os usuários forneçam essas informações para funcionar corretamente. A Hudson Rock observou que os hackers não estavam atacando diretamente o OpenClaw, mas sim utilizando um infostealer para coletar o máximo de arquivos sensíveis possível do sistema comprometido. Os pesquisadores alertam que, à medida que o OpenClaw se torna mais popular, a probabilidade de ataques direcionados a esses dados aumentará, com a possibilidade de que desenvolvedores de malware criem módulos específicos para decifrar e extrair informações de assistentes de IA. Essa evolução no comportamento dos infostealers representa um risco crescente para fluxos de trabalho profissionais que dependem de assistentes de IA.

Pesquisadores de cibersegurança revelaram uma nova campanha chamada SmartLoader, que utiliza uma versão trojanizada de um servidor do Modelo de Contexto de Protocolo (MCP) associado à Oura Health para distribuir um infostealer conhecido como StealC. Os atacantes clonaram um servidor legítimo da Oura, que conecta assistentes de IA aos dados de saúde do Oura Ring, e criaram uma infraestrutura enganosa com repositórios falsos no GitHub para dar credibilidade ao ataque. O objetivo é roubar credenciais, senhas de navegadores e dados de carteiras de criptomoedas. A campanha, que começou a ser destacada em 2024, utiliza repositórios disfarçados como cheats de jogos e software pirata para atrair vítimas. A análise mais recente mostra que os atacantes investiram meses para construir uma rede de contas e repositórios falsos antes de lançar o malware. O ataque é realizado em quatro etapas, culminando na submissão do servidor trojanizado ao mercado MCP, onde usuários desavisados podem encontrá-lo entre opções legítimas. As organizações são aconselhadas a revisar a segurança dos servidores MCP instalados e monitorar tráfego suspeito para mitigar essa ameaça.

A crescente adoção do assistente de IA OpenClaw tem gerado preocupações de segurança, especialmente após a detecção de malware que rouba arquivos associados a essa ferramenta. O OpenClaw, que opera localmente e mantém um ambiente de configuração persistente, permite acesso a arquivos locais e interação com serviços online. Recentemente, a Hudson Rock documentou um caso em que um infostealer conseguiu extrair dados sensíveis do OpenClaw, incluindo chaves de API e tokens de autenticação. Os arquivos comprometidos, como openclaw.json e device.json, contêm informações críticas que podem permitir a um atacante se passar pelo dispositivo da vítima e acessar serviços em nuvem. A Hudson Rock alerta que essa é uma evolução significativa no comportamento de infostealers, que agora estão mirando na identidade digital dos assistentes pessoais de IA. Além disso, uma vulnerabilidade severa foi descoberta em um assistente de IA semelhante, o Nanobot, que poderia permitir que atacantes assumissem sessões do WhatsApp. Com a popularidade crescente do OpenClaw, espera-se que os infostealers continuem a focar nessa ferramenta, aumentando o risco para os usuários.

Pesquisadores em cibersegurança identificaram um caso de infecção por malware que conseguiu exfiltrar dados de configuração do ambiente OpenClaw, uma plataforma de inteligência artificial. Este incidente representa uma evolução significativa no comportamento de infostealers, que agora estão focando na coleta de identidades e informações sensíveis de agentes de IA, em vez de apenas credenciais de navegadores. O malware, possivelmente uma variante do Vidar, utilizou uma rotina de captura de arquivos para acessar dados críticos, incluindo tokens de autenticação e diretrizes operacionais dos agentes. A captura do token de autenticação pode permitir que atacantes se conectem remotamente ao OpenClaw da vítima. Além disso, a plataforma OpenClaw enfrenta problemas de segurança, como a exposição de instâncias que podem levar a riscos de execução remota de código (RCE). A crescente popularidade do OpenClaw, que já conta com mais de 200 mil estrelas no GitHub, torna-o um alvo atraente para ataques de cadeia de suprimentos. A situação é agravada por campanhas de habilidades maliciosas que burlam a detecção de malware, destacando a necessidade de vigilância constante e medidas de segurança robustas.

Os ataques à cadeia de suprimento, conhecidos como Supply Chain Attacks, são uma forma de cibercrime que explora a confiança dos usuários em softwares e atualizações legítimas. Ao invés de invadir diretamente um sistema, os hackers comprometem a distribuição de software, injetando malware em atualizações que parecem seguras. Um exemplo notório é o ataque ao SolarWinds em 2020, onde hackers russos inseriram código malicioso em um software amplamente utilizado por empresas e agências governamentais dos EUA, permitindo espionagem sem ser detectado por meses. Outro caso relevante foi o do CCleaner em 2017, que também teve sua versão oficial comprometida, permitindo acesso remoto a agentes maliciosos. Esses ataques são difíceis de detectar porque muitas vezes utilizam chaves de assinatura legítimas, fazendo com que o sistema reconheça o software como seguro. Para mitigar esses riscos, surge o conceito de Software Bill of Materials (SBOM), que exige transparência sobre os componentes de um software antes de sua instalação. Isso pode ajudar a identificar e prevenir a instalação de softwares maliciosos disfarçados.

Nesta semana, o cenário de cibersegurança revela que pequenas falhas estão se transformando em grandes pontos de entrada para atacantes. Um exemplo alarmante é o caso do complemento AgreeTo para Outlook, que foi sequestrado e transformado em um kit de phishing, resultando no roubo de mais de 4.000 credenciais de contas Microsoft. Essa situação ilustra como ativos negligenciados podem se tornar vetores de ataque. Além disso, a Google lançou atualizações de segurança para o Chrome, corrigindo uma vulnerabilidade crítica (CVE-2026-2441) que estava sendo explorada ativamente. Outra vulnerabilidade crítica, CVE-2026-1731, foi identificada nos produtos da BeyondTrust e já está sendo explorada, permitindo execução remota de código. A Apple também lançou correções para uma falha zero-day em seus sistemas operacionais. Por fim, o grupo TeamPCP está explorando ambientes de nuvem mal configurados para expandir suas operações criminosas, enquanto hackers patrocinados por estados estão utilizando inteligência artificial em várias etapas do ciclo de ataque, aumentando a eficiência de suas operações. Esses incidentes destacam a necessidade urgente de vigilância e atualização constante das defesas cibernéticas.

Recentemente, pesquisadores da Microsoft identificaram uma nova variante dos ataques ClickFix, que agora utilizam consultas DNS como um canal para entregar malware. Esses ataques enganam os usuários a executar comandos maliciosos, disfarçados como soluções para erros ou atualizações de sistema. Nesta nova abordagem, os atacantes controlam um servidor DNS que fornece um script PowerShell malicioso durante a execução do comando nslookup. Ao invés de consultar o servidor DNS padrão do sistema, os usuários são instruídos a consultar um servidor DNS controlado pelo atacante, que retorna um payload malicioso. O script, uma vez executado, baixa um arquivo ZIP contendo um executável Python e scripts maliciosos que realizam reconhecimento no dispositivo infectado e estabelecem persistência no sistema. Essa técnica inovadora permite que os atacantes modifiquem os payloads em tempo real, camuflando suas atividades no tráfego DNS normal. Os ataques ClickFix têm evoluído rapidamente, com novas táticas e tipos de payloads sendo utilizados, incluindo a exploração de aplicativos como o Azure CLI para comprometer contas Microsoft sem senha. Essa evolução representa um risco significativo para a segurança cibernética, exigindo atenção redobrada das organizações.

Um novo relatório da CTM360 revela que mais de 4.000 grupos maliciosos do Google e 3.500 URLs hospedadas pelo Google estão sendo utilizados em uma campanha ativa de malware que visa organizações globais. Os atacantes exploram a confiança no ecossistema do Google para distribuir malware que rouba credenciais e estabelece acesso persistente em dispositivos comprometidos. A campanha utiliza engenharia social em fóruns do Google Groups, onde os criminosos postam discussões técnicas que parecem legítimas, incorporando nomes de organizações e palavras-chave relevantes para aumentar a credibilidade. Links de download disfarçados são utilizados para direcionar os usuários a arquivos maliciosos. Para usuários do Windows, o malware Lumma Stealer é entregue em um arquivo compactado protegido por senha, enquanto usuários do Linux são redirecionados para baixar um navegador trojanizado chamado Ninja Browser, que instala extensões maliciosas sem consentimento. A campanha representa um risco significativo para as organizações, incluindo roubo de credenciais e execução remota de comandos. A CTM360 recomenda que as organizações inspecionem URLs encurtadas, bloqueiem indicadores de comprometimento e eduquem os usuários sobre os riscos de downloads de fontes não verificadas.