Malware

Nesta semana, as ameaças cibernéticas destacaram-se pela utilização de sistemas comuns que, embora funcionem conforme o esperado, foram manipulados por atacantes. As campanhas de phishing, como a ‘Operação Nomad Leopard’, visam entidades governamentais no Afeganistão, utilizando documentos administrativos falsos para distribuir um backdoor chamado FALSECUB. Além disso, grupos hacktivistas alinhados à Rússia estão realizando ataques de negação de serviço (DoS) contra a infraestrutura crítica do Reino Unido. Outra técnica alarmante é o uso de side-loading de DLLs, onde aplicativos confiáveis são explorados para carregar códigos maliciosos. Pesquisadores também relataram campanhas de malware disfarçadas de ferramentas de conversão de arquivos, que instalam trojans de acesso remoto (RATs) em sistemas de usuários desavisados. A nova legislação da Comissão Europeia visa fortalecer a segurança cibernética na cadeia de suprimentos de tecnologia, exigindo a remoção de fornecedores de alto risco. Essas tendências revelam uma mudança significativa na forma como os atacantes operam, enfatizando a importância da vigilância e da confiança nas ferramentas utilizadas pelas organizações.

Uma nova família de trojans de cliques para Android está utilizando modelos de aprendizado de máquina do TensorFlow para detectar e interagir automaticamente com elementos publicitários específicos. Ao contrário dos trojans tradicionais que dependem de rotinas de clique em JavaScript, essa nova abordagem realiza uma análise visual baseada em aprendizado de máquina. Os pesquisadores da Dr.Web identificaram que esses malwares estão sendo distribuídos através da loja oficial GetApps de dispositivos Xiaomi, operando em um modo chamado ‘fantasma’, que utiliza um navegador oculto para carregar páginas de anúncios e scripts JavaScript que automatizam ações sobre os anúncios exibidos. Além disso, um segundo modo, denominado ‘sinalização’, permite que os atacantes transmitam um feed de vídeo ao vivo da tela do navegador virtual, possibilitando ações em tempo real. Os trojans são frequentemente incorporados em jogos inicialmente benignos, recebendo funcionalidades maliciosas em atualizações subsequentes. Os pesquisadores alertam que a instalação de aplicativos fora do Google Play, especialmente versões modificadas de aplicativos populares, deve ser evitada, pois isso aumenta o risco de infecção. Embora a fraude de cliques não represente uma ameaça imediata à privacidade dos usuários, ela pode resultar em drenagem da bateria e custos adicionais de dados móveis.

Pesquisadores da Check Point Research (CPR) identificaram um novo malware chamado VoidLink, que opera em ambientes Linux e foi desenvolvido quase que inteiramente com o auxílio de inteligência artificial (IA). O malware possui uma estrutura complexa, incluindo loaders, módulos de rootkit e uma variedade de plugins. A criação do VoidLink foi realizada em apenas uma semana, utilizando a TRAE SOLO, um assistente de IA que ajudou o desenvolvedor a gerar um código-fonte de 88.000 linhas. Embora o hacker não tenha conseguido ocultar completamente suas atividades, falhas em sua implementação permitiram que os pesquisadores acessassem o código e a documentação do projeto. O VoidLink é considerado o primeiro exemplo documentado de um malware avançado gerado por IA, o que levanta preocupações sobre a capacidade de indivíduos com conhecimentos técnicos limitados de criar ameaças cibernéticas sofisticadas. Essa nova era de desenvolvimento de malware pode alterar significativamente o cenário da cibersegurança, tornando mais fácil para cibercriminosos desenvolverem ferramentas complexas sem a necessidade de grandes equipes de desenvolvimento.

Especialistas da Jamf Threat Labs identificaram uma nova campanha de hackers norte-coreanos, chamada Contagious Interview, que visa programadores através de ofertas de emprego atrativas. Os atacantes direcionam as vítimas a repositórios no GitHub, GitLab ou BitBucket, onde projetos maliciosos são apresentados. Ao abrir esses projetos no Microsoft Visual Studio Code (VS Code), os usuários ativam uma backdoor que permite acesso contínuo aos seus computadores. Essa técnica utiliza arquivos de configuração de tarefas do VS Code para executar códigos maliciosos, como os malwares BeaverTail e InvisibleFerret, sempre que um arquivo da pasta do projeto é aberto. Os hackers têm como alvo principal engenheiros de software que trabalham com criptomoedas e fintechs, buscando acesso a bens financeiros e carteiras digitais. A evolução rápida dos malwares e a utilização de métodos sofisticados de infecção tornam esses ataques ainda mais perigosos, dificultando a detecção por antivírus e outras medidas de segurança. A Jamf alerta que a confiança concedida ao autor do repositório facilita a execução do código malicioso, representando uma ameaça significativa para a segurança digital dos programadores.

Uma nova campanha de espionagem cibernética, conhecida como Contagious Interview, foi identificada, envolvendo 3.136 endereços IP associados a 20 organizações-alvo em setores como inteligência artificial, criptomoedas e serviços financeiros. A pesquisa, realizada pelo Insikt Group da Recorded Future, revela que a atividade ocorreu entre agosto de 2024 e setembro de 2025, com alvos localizados na Europa, Sul da Ásia, Oriente Médio e América Central. Os atacantes, associados ao grupo PurpleBravo, utilizam táticas como a criação de perfis falsos no LinkedIn e a distribuição de projetos maliciosos no GitHub para infiltrar sistemas corporativos. A campanha destaca a vulnerabilidade da cadeia de suprimentos de software, onde candidatos a emprego podem inadvertidamente comprometer dispositivos corporativos ao executar códigos maliciosos. Além disso, a PurpleBravo opera em conjunto com outra campanha chamada Wagemole, que busca emprego não autorizado por meio de identidades fraudulentas. A utilização de servidores de comando e controle (C2) gerenciados via VPN e a exploração de fluxos de trabalho de desenvolvedores confiáveis são preocupações crescentes para a segurança cibernética global.

Pesquisadores da empresa Resecurity identificaram uma nova cepa de malware chamada PDFSIDER, que visa obter acesso furtivo e contínuo a sistemas comprometidos. O ataque começa com um e-mail de spear-phishing que contém um arquivo ZIP com um executável legítimo, chamado ‘PDF24 App’, que imita um software conhecido de criação de PDFs. Ao ser executado, o malware não apresenta interface visível, mas instala uma backdoor encriptada no sistema.

O PDFSIDER utiliza uma técnica de carregamento lateral de DLLs, explorando fraquezas no aplicativo legítimo para carregar uma biblioteca maliciosa, contornando assim a detecção de antivírus e soluções de segurança mais robustas. O malware se conecta a um canal de comando e controle (C2) para receber instruções e enviar dados de volta aos atacantes, utilizando criptografia AES-256-GCM para proteger a comunicação.

A LastPass emitiu um alerta sobre uma nova campanha de phishing que se apresenta como um aviso de manutenção do serviço de gerenciamento de senhas. Iniciada em 19 de janeiro de 2026, a campanha envia e-mails fraudulentos que solicitam aos usuários que façam um backup local de seus cofres de senhas em um prazo de 24 horas. Os e-mails possuem linhas de assunto como ‘Atualização da Infraestrutura LastPass: Proteja Seu Cofre Agora’ e ‘Importante: Manutenção LastPass e a Segurança do Seu Cofre’. Os usuários são direcionados a um site de phishing que imita o LastPass, com o objetivo de roubar suas senhas mestras. A empresa enfatiza que nunca solicitará a senha mestra dos usuários e está trabalhando com parceiros para desmantelar a infraestrutura maliciosa. A LastPass também compartilhou os endereços de e-mail dos remetentes dos e-mails fraudulentos, alertando os usuários a permanecerem vigilantes e a reportarem atividades suspeitas. Essa campanha é um exemplo clássico de engenharia social, utilizando a urgência como tática para enganar os usuários. Além disso, a LastPass já havia alertado anteriormente sobre uma campanha de roubo de informações que visava usuários do macOS da Apple, através de repositórios falsos no GitHub.

O malware VoidLink, um sofisticado framework para Linux, foi desenvolvido com a ajuda de um modelo de inteligência artificial (IA), segundo a Check Point Research. Identificado como um dos primeiros exemplos de malware avançado gerado em grande parte por IA, o VoidLink possui mais de 88.000 linhas de código e foi projetado para acesso furtivo a ambientes em nuvem baseados em Linux. A análise sugere que um desenvolvedor experiente, possivelmente de origem chinesa, utilizou um agente de codificação chamado TRAE SOLO para acelerar o desenvolvimento, que levou menos de uma semana para criar um protótipo funcional. A pesquisa também revelou que a documentação interna do projeto, escrita em chinês, apresenta características típicas de conteúdo gerado por IA, como formatação consistente e detalhes meticulosos. Embora ainda não tenham sido observadas infecções reais, o desenvolvimento do VoidLink representa uma mudança significativa na forma como malware avançado pode ser criado, permitindo que indivíduos com menos recursos realizem ataques complexos de forma rápida e eficiente. Especialistas alertam que a IA está transformando a cibercriminalidade, tornando ferramentas sofisticadas acessíveis a qualquer um com um cartão de crédito.

Pesquisadores da LayerX identificaram 17 novas extensões maliciosas para os navegadores Chrome, Firefox e Edge, que fazem parte da campanha GhostPoster. Essas extensões, que já somam mais de 840.000 downloads, têm como objetivo monitorar a atividade dos usuários e instalar backdoors, permitindo acesso contínuo aos computadores das vítimas. A maioria das extensões foi lançada em 2020 e, em alguns casos, o código malicioso estava oculto na logo PNG do add-on, facilitando a instalação de um payload malicioso a partir de um servidor remoto. Os atacantes implementaram uma estratégia de evasão, baixando o malware apenas 10% das vezes, o que dificulta a detecção. Entre as funcionalidades do malware, destaca-se o roubo de links de afiliados em sites de e-commerce e a injeção de monitoramento do Google Analytics em páginas visitadas. Embora as extensões tenham sido removidas das lojas oficiais, usuários ainda devem verificar se têm alguma delas instalada e removê-las imediatamente, além de limpar o cache do navegador.

Um novo ataque cibernético, identificado como uma variante do ClickFix, utiliza uma extensão falsa chamada NexShield, que se apresenta como um bloqueador de anúncios para os navegadores Chrome e Edge. Desenvolvido pelo grupo de ameaças KongTuke, esse ataque é mais sofisticado, pois cria um problema real ao travar o navegador da vítima. Após a instalação, a extensão inicia suas atividades maliciosas uma hora depois, causando uma condição de negação de serviço (DoS) que força o usuário a reiniciar o navegador manualmente. Ao reiniciar, uma mensagem de erro falsa aparece, levando o usuário a copiar um comando no Prompt de Comando do Windows, que, na verdade, instala o ModeloRAT, um trojan de acesso remoto que concede controle total sobre o dispositivo comprometido. Embora os pesquisadores de segurança acreditem que o KongTuke esteja focando principalmente em usuários corporativos, a possibilidade de que indivíduos também sejam alvos no futuro não pode ser descartada. Este ataque destaca a importância de uma vigilância constante e de práticas de segurança cibernética robustas para evitar infecções por malware.

O malware VoidLink, recentemente descoberto, é um framework avançado focado em ambientes de nuvem, desenvolvido por um único criador com auxílio de um modelo de inteligência artificial. De acordo com a Check Point Research, o VoidLink é um malware para Linux que inclui carregadores personalizados, implantes, módulos de rootkit para evasão e uma variedade de plugins que ampliam suas funcionalidades. A pesquisa sugere que o desenvolvedor possui forte proficiência em várias linguagens de programação, possivelmente originando-se da China.

Atuando sob a campanha Contagious Interview, hackers da Coreia do Norte têm explorado projetos maliciosos do Microsoft Visual Studio Code (VS Code) para implantar um backdoor em sistemas comprometidos. A técnica, descoberta em dezembro de 2025, envolve a instrução de alvos para clonarem repositórios no GitHub, GitLab ou Bitbucket e abrirem o projeto no VS Code como parte de uma avaliação de emprego. O ataque utiliza arquivos de configuração de tarefas do VS Code para executar cargas maliciosas hospedadas em domínios da Vercel, dependendo do sistema operacional da vítima. A configuração permite que comandos maliciosos sejam executados sempre que um arquivo do projeto é aberto. Além disso, os hackers têm disfarçado malware como dicionários de verificação ortográfica para evitar detecções. A comunicação com servidores remotos é estabelecida para facilitar a execução de código e coleta de informações do sistema. Os alvos preferenciais incluem engenheiros de software, especialmente aqueles nas áreas de criptomoeda e fintech, que possuem acesso privilegiado a ativos financeiros. A evolução das táticas dos atacantes reflete uma adaptação contínua para maximizar o sucesso em suas metas de ciberespionagem e financeiras, visando contornar sanções internacionais.

Pesquisadores de cibersegurança revelaram uma nova campanha de malware chamada Evelyn Stealer, que visa desenvolvedores de software através do ecossistema de extensões do Microsoft Visual Studio Code (VS Code). O malware é projetado para exfiltrar informações sensíveis, como credenciais de desenvolvedores e dados relacionados a criptomoedas. A Trend Micro destacou que ambientes de desenvolvimento comprometidos podem ser usados como pontos de acesso a sistemas organizacionais mais amplos.

A campanha foi inicialmente documentada pela Koi Security, que identificou três extensões maliciosas do VS Code que baixam um DLL downloader. Este downloader executa um comando PowerShell oculto para buscar e executar um segundo payload, que injeta o principal payload de roubo de informações em um processo legítimo do Windows. Entre os dados coletados estão conteúdos da área de transferência, aplicativos instalados, carteiras de criptomoedas, capturas de tela da área de trabalho e credenciais armazenadas em navegadores como Google Chrome e Microsoft Edge.

Pesquisadores de cibersegurança descobriram uma nova campanha de phishing que utiliza mensagens privadas em redes sociais, como o LinkedIn, para disseminar arquivos maliciosos, possivelmente com a intenção de implantar um Trojan de Acesso Remoto (RAT). A atividade envolve o envio de mensagens a indivíduos de alto valor, estabelecendo confiança e induzindo-os a baixar um arquivo autoextraível do WinRAR. Este arquivo extrai quatro componentes: um leitor de PDF legítimo, uma DLL maliciosa, um executável do interpretador Python e um arquivo RAR que provavelmente serve como isca. A infecção é ativada quando o leitor de PDF é executado, permitindo que a DLL maliciosa seja carregada. O uso de DLL sideloading tem se tornado comum entre atacantes para evitar detecções. Nos últimos dias, pelo menos três campanhas documentadas utilizaram essa técnica para entregar malwares como LOTUSLITE e PDFSIDER. A DLL maliciosa instala o interpretador Python e cria uma chave de registro no Windows para garantir a execução automática em cada login. O payload final tenta se comunicar com um servidor externo, permitindo acesso remoto persistente e exfiltração de dados. Essa abordagem demonstra que ataques de phishing não se limitam a e-mails, explorando lacunas de segurança em plataformas de redes sociais, que geralmente têm menos monitoramento.

Recentemente, um ataque de ransomware direcionado a uma empresa do setor financeiro da Fortune 100 utilizou uma nova variante de malware chamada PDFSider. Os atacantes empregaram engenharia social para se passar por trabalhadores de suporte técnico, induzindo funcionários a instalar a ferramenta Quick Assist da Microsoft. A Resecurity, empresa de cibersegurança, identificou o PDFSider como uma backdoor furtiva que permite acesso a longo prazo, com características associadas a técnicas de APT (Advanced Persistent Threat). O malware é distribuído por e-mails de spearphishing que contêm um arquivo ZIP com um executável legítimo e uma versão maliciosa de uma DLL necessária para o funcionamento do software. Ao ser executado, o malware carrega a DLL maliciosa, permitindo a execução de comandos no sistema. O PDFSider opera de forma discreta, utilizando criptografia avançada para proteger suas comunicações e mecanismos de anti-análise para evitar detecções. A Resecurity alerta que o PDFSider é mais próximo de um malware de espionagem do que de um ataque motivado financeiramente, destacando a crescente facilidade com que cibercriminosos exploram vulnerabilidades em softwares devido ao uso de IA na programação.

Especialistas em cibersegurança da Huntress alertaram sobre uma nova campanha maliciosa chamada KongTuke, que utiliza uma extensão falsa de bloqueio de anúncios no Google Chrome para roubar dados dos usuários. A extensão, denominada ‘NexShield – Advanced Web Guardian’, se apresenta como uma ferramenta de proteção contra anúncios e malwares, mas na verdade distribui um trojan de acesso remoto chamado ModeloRAT. Ao instalar a extensão, os usuários são enganados por um aviso de segurança falso que os leva a executar um comando no Windows, causando um travamento do navegador e permitindo que os hackers monitorem suas atividades. A extensão foi baixada mais de 5 mil vezes antes de ser desativada. O ataque é especialmente preocupante para ambientes corporativos, onde informações sensíveis podem ser comprometidas através da engenharia social. A campanha destaca a importância de se ter cautela ao instalar extensões e a necessidade de medidas de segurança robustas para proteger dados pessoais e corporativos.

Pesquisadores da CyberArk descobriram uma vulnerabilidade de cross-site scripting (XSS) no painel de controle utilizado por hackers para disseminar o malware StealC. Essa falha permitiu que os especialistas coletassem informações cruciais, como impressões digitais e cookies, para interromper as operações dos cibercriminosos. O StealC, um infostealer que opera sob o modelo de Malware-as-a-Service (MaaS), foi identificado pela primeira vez em janeiro de 2023 e é distribuído por meio de cracks corrompidos de softwares populares, utilizando o YouTube como fachada. O vazamento do código-fonte do painel de gerenciamento do malware facilitou a análise da vulnerabilidade, que é comum em injeções do lado do cliente. Embora os detalhes da falha não tenham sido divulgados para evitar que os hackers a corrigissem, a situação destaca a importância de monitorar e proteger sistemas contra esse tipo de ataque. A falta de medidas de proteção adequadas permitiu que os cookies dos servidores comprometidos vazassem durante a coleta de dados, expondo informações sensíveis dos usuários.

Pesquisadores de cibersegurança da CyberArk conseguiram acessar o painel de controle do malware StealC, um infostealer amplamente utilizado por cibercriminosos. Essa invasão foi possível devido a uma falha de vazamento de código-fonte e uma vulnerabilidade de cross-site scripting (XSS). O StealC é capaz de coletar dados sensíveis, como credenciais de navegadores, cookies e informações de carteiras de criptomoedas. Durante a investigação, os pesquisadores identificaram um ator de ameaças conhecido como ‘YouTubeTA’, que utilizou credenciais roubadas para invadir canais legítimos do YouTube, resultando na coleta de 390 mil senhas e 30 milhões de cookies. A análise revelou detalhes sobre o dispositivo utilizado pelo atacante, que não utilizou uma VPN em uma de suas sessões, expondo seu endereço IP vinculado a um provedor de internet na Ucrânia. A divulgação dessas informações pode atrair mais atenção sobre o StealC, potencialmente interrompendo suas operações. Essa situação destaca a importância de monitorar e mitigar ameaças emergentes no cenário de cibersegurança.

Feras Khalil Ahmad Albashiti, um homem de 40 anos da Jordânia, se declarou culpado por atuar como um ‘access broker’, vendendo acesso a redes de computadores de pelo menos 50 empresas. A extradição de Albashiti foi realizada pelo Departamento de Justiça dos EUA, após sua prisão na Geórgia em julho de 2024. Ele foi acusado de fraude envolvendo credenciais de acesso e sua sentença está marcada para 11 de maio de 2026, podendo enfrentar até 10 anos de prisão e multas que podem chegar a $250.000. A investigação começou em maio de 2023, quando agentes de segurança identificaram Albashiti em um fórum online que vendia malware. Ele foi preso após vender acesso a redes de empresas para um agente disfarçado em troca de criptomoedas. O papel de ‘initial access brokers’ é crucial no ecossistema do cibercrime, pois eles fornecem credenciais que permitem que outros criminosos realizem ataques, como roubo de dados e ransomware. Recentemente, a Microsoft alertou sobre um broker que está abusando de ferramentas do Windows para carregar malware, destacando a crescente ameaça que esses intermediários representam.

Pesquisadores de cibersegurança revelaram uma campanha ativa chamada KongTuke, que utiliza uma extensão maliciosa do Google Chrome disfarçada de bloqueador de anúncios. Essa extensão, chamada ‘NexShield – Advanced Web Guardian’, foi projetada para travar o navegador e enganar as vítimas a executar comandos arbitrários. A extensão, que teve mais de 5.000 downloads, simula um alerta de segurança falso, levando os usuários a realizar uma ‘varredura’ que resulta em um ataque de negação de serviço (DoS) que causa o congelamento do navegador. Após a instalação, a extensão envia um ID único para um servidor controlado por atacantes, permitindo o rastreamento das vítimas. O ataque culmina na instalação de um trojan de acesso remoto (RAT) chamado ModeloRAT, que permite que os atacantes controlem os sistemas comprometidos. A campanha KongTuke destaca a evolução das táticas de engenharia social, explorando a frustração do usuário para criar um ciclo de infecção autossustentável.

O cenário de cibersegurança está em constante evolução, com a linha entre atualizações normais e incidentes graves se tornando cada vez mais tênue. Recentemente, uma vulnerabilidade crítica no Fortinet FortiSIEM, identificada como CVE-2025-64155, foi explorada ativamente, permitindo que atacantes não autenticados executassem códigos maliciosos. Essa falha, com um escore CVSS de 9.4, compromete o serviço phMonitor, que opera com privilégios elevados, possibilitando controle total do sistema. Além disso, um novo malware chamado VoidLink, voltado para ambientes Linux, foi desenvolvido para garantir acesso de longo prazo e coleta de dados, utilizando técnicas de evasão sofisticadas para evitar detecção.

Pesquisadores de cibersegurança revelaram uma vulnerabilidade de cross-site scripting (XSS) no painel de controle web utilizado pelos operadores do malware StealC, um ladrão de informações que surgiu em janeiro de 2023. Essa falha permitiu a coleta de dados críticos sobre os usuários do malware, incluindo impressões digitais do sistema e cookies de sessão. O StealC opera sob um modelo de malware como serviço (MaaS), utilizando plataformas como o YouTube para distribuir o software malicioso disfarçado de cracks de programas populares. O painel atualizado, conhecido como StealC V2, foi comprometido após o vazamento do código-fonte, permitindo que pesquisadores identificassem detalhes sobre os computadores dos operadores, como localização e hardware. A vulnerabilidade XSS é uma injeção de código JavaScript malicioso que pode ser explorada para roubar cookies e acessar informações sensíveis. O caso destaca a ironia de um grupo especializado em roubo de cookies não ter implementado medidas básicas de segurança. Além disso, um cliente do StealC, identificado como YouTubeTA, utilizou a plataforma para distribuir o malware, acumulando um grande número de credenciais roubadas. A pesquisa também revelou falhas na segurança operacional do ator, que expôs sua localização ao não usar uma VPN. Isso evidencia os riscos que os operadores de malware enfrentam, mesmo em suas próprias infraestruturas.

Uma falha de cross-site scripting (XSS) no painel de controle web do malware StealC permitiu que pesquisadores observassem sessões ativas e coletassem informações sobre o hardware dos atacantes. O StealC, que surgiu em 2023, ganhou notoriedade por suas capacidades de evasão e roubo de dados. Com a versão 2.0, lançada em abril, o desenvolvedor introduziu suporte para bots do Telegram e um novo construtor que gera versões personalizadas do malware. A falha XSS descoberta pela CyberArk possibilitou a coleta de impressões digitais de navegadores e hardware dos operadores, além de permitir o sequestro de sessões. Um caso notável envolveu um cliente do StealC, conhecido como ‘YouTubeTA’, que comprometeu canais legítimos do YouTube e coletou mais de 5.000 logs de vítimas, resultando no roubo de aproximadamente 390.000 senhas e 30 milhões de cookies. A localização do atacante foi revelada quando ele não utilizou uma VPN, expondo seu IP real vinculado a um provedor de internet ucraniano. A CyberArk optou por não divulgar detalhes da vulnerabilidade para evitar que os operadores do StealC a corrigissem rapidamente, visando causar interrupções nas operações do malware.

O GootLoader, um carregador de malware em JavaScript, tem utilizado um arquivo ZIP malformado para escapar de detecções de segurança. Esse arquivo é criado por meio da concatenação de 500 a 1.000 arquivos ZIP, dificultando a extração por ferramentas comuns como WinRAR e 7-Zip, mas sendo compatível com a ferramenta padrão do Windows. Essa técnica de anti-análise impede que muitos fluxos de trabalho automatizados consigam analisar o conteúdo do arquivo. O GootLoader é frequentemente distribuído por meio de táticas de SEO e malvertising, visando usuários que buscam templates legais e os redirecionando para sites WordPress comprometidos. Recentemente, novas técnicas foram observadas, como o uso de fontes WOFF2 personalizadas para ofuscar nomes de arquivos e a exploração do endpoint de comentários do WordPress para entregar os arquivos ZIP. O malware, que está ativo desde 2020, é projetado para entregar cargas secundárias, incluindo ransomware. Para mitigar essa ameaça, recomenda-se que as organizações bloqueiem a execução de ‘wscript.exe’ e ‘cscript.exe’ para conteúdos baixados, além de configurar políticas para abrir arquivos JavaScript no Notepad por padrão.

Uma nova campanha de cibercriminosos está explorando a operação militar dos Estados Unidos para capturar Nicolás Maduro, presidente da Venezuela, como uma isca para distribuir malware. Especialistas em segurança cibernética identificaram que hackers, associados ao grupo Mustang Panda, estão utilizando táticas de spear phishing para atacar entidades políticas americanas. O malware, chamado LOTUSLITE, é um backdoor que se infiltra em dispositivos governamentais através de um arquivo ZIP malicioso intitulado ‘EUA decidem agora o que vem a seguir para a Venezuela.zip’.

Especialistas em segurança revelaram uma nova campanha de malware que visa entidades governamentais e políticas dos Estados Unidos, utilizando iscas temáticas relacionadas a desenvolvimentos geopolíticos entre os EUA e a Venezuela. O malware, conhecido como LOTUSLITE, é um backdoor que se infiltra em sistemas através de um arquivo ZIP malicioso intitulado ‘US now deciding what’s next for Venezuela.zip’, que contém uma DLL maliciosa lançada por técnicas de DLL side-loading. A atividade foi atribuída a um grupo patrocinado pelo Estado chinês, conhecido como Mustang Panda, que é reconhecido por utilizar extensivamente essas técnicas para implantar suas ferramentas. O LOTUSLITE, um implante em C++, se comunica com um servidor de comando e controle (C2) e permite atividades como execução remota de comandos e exfiltração de dados. Embora a campanha não tenha sido confirmada como bem-sucedida, ela destaca a eficácia de técnicas de phishing direcionado em um contexto geopolítico. A análise sugere que, apesar da falta de recursos avançados de evasão, a confiabilidade operacional do malware é uma preocupação significativa.

O malware Gootloader, que tem sido utilizado para acesso inicial em ataques cibernéticos, agora emprega um arquivo ZIP malformado que concatena até 1.000 arquivos para evitar a detecção. Essa técnica causa falhas em diversas ferramentas de análise, enquanto o arquivo malicioso, que é um arquivo JScript arquivado, pode ser descompactado com a ferramenta padrão do Windows. Pesquisadores notaram que ferramentas como 7-Zip e WinRAR falham ao tentar processar esses arquivos. Os operadores do Gootloader implementaram mecanismos de ofuscação mais complexos, como a concatenação de arquivos ZIP, a utilização de um End of Central Directory truncado e a randomização de campos de número de disco. Após a execução, o malware ativa um JScript que estabelece persistência no sistema, criando atalhos que são executados a cada inicialização. Para mitigar essa ameaça, recomenda-se que os defensores alterem a aplicação padrão para abrir arquivos JScript e bloqueiem a execução de wscript.exe e cscript.exe. A pesquisa também fornece uma regra YARA para ajudar na identificação desses arquivos ZIP malformados.

O LinkedIn se tornou alvo de uma nova campanha de phishing que utiliza comentários na plataforma para espalhar malware. De acordo com uma reportagem do Bleeping Computer, usuários relataram comentários suspeitos que aparentam ser legítimos, vindo do próprio LinkedIn. Os hackers criam mensagens falsas que alertam sobre uma suposta violação das políticas da plataforma, levando ao bloqueio temporário da conta do usuário. Após essa notificação, um link é compartilhado para reativar a conta, direcionando a vítima a uma página semelhante à de login do LinkedIn. Nesse momento, os criminosos conseguem coletar informações sensíveis, pois os usuários, acreditando na legitimidade do aviso, inserem suas credenciais na página maliciosa.

O cenário de cibersegurança continua a evoluir rapidamente, com novas vulnerabilidades e ataques emergindo semanalmente. Um dos destaques é uma falha crítica no Redis (CVE-2025-62507), que permite execução remota de código devido a um estouro de buffer. Essa vulnerabilidade, que afeta 2.924 servidores, foi corrigida na versão 8.3.2, mas a falta de autenticação no Redis torna a exploração ainda mais preocupante.

Além disso, o malware BaoLoader, que utiliza certificados de assinatura válidos para se disfarçar, tem se tornado uma ameaça significativa, permitindo que os atacantes operem sem serem detectados. Campanhas de phishing também estão em alta, com e-mails disfarçados de convites e alertas que instalam ferramentas de gerenciamento remoto (RMM).

Pesquisadores da Check Point Research (CPR) descobriram o VoidLink, um novo framework de malware projetado especificamente para ambientes de nuvem que operam com Linux. Este malware, que se infiltra silenciosamente nas infraestruturas digitais, representa uma evolução nos ataques cibernéticos, focando em compromissos de longo prazo e ocultos. O VoidLink é escrito na linguagem Zig e é capaz de identificar plataformas como Kubernetes e Docker, ajustando seu comportamento conforme o ambiente. Além disso, ele coleta credenciais de sistemas de controle de versão, como o Git, o que sugere que desenvolvedores de software podem ser alvos de espionagem ou ataques futuros. O malware possui características semelhantes a rootkits, permitindo a expansão de suas funções através de um sistema de plugins em memória. Embora ainda não haja evidências de infecções ativas, o framework pode ser oferecido como um serviço no futuro. Para mitigar essas ameaças, é essencial que as organizações adotem uma abordagem de segurança que inclua visibilidade contínua e inteligência de ameaças em tempo real, especialmente em ambientes de nuvem e Linux.

Uma nova campanha de ciberataque, chamada SHADOW#REACTOR, está afetando usuários do Windows ao disseminar um malware de acesso remoto. Detectado por pesquisadores da Securonix, o ataque utiliza a ferramenta Remcos RAT para obter acesso remoto aos sistemas, estabelecendo uma persistência silenciosa. O processo inicia-se com um VBS Launcher, que se disfarça no Windows e executa um script para recuperar payloads fragmentados de um servidor remoto. Esses fragmentos são então reconstruídos em loaders, que são decodificados na memória do dispositivo. A execução final do malware é realizada através do MSBuild.exe, um processo legítimo do Windows, que permite ao Remcos RAT comprometer o sistema operacional. Os principais alvos são pequenas e médias empresas, com os hackers buscando vender o acesso a esses sistemas a outros agentes maliciosos. A disseminação do malware ocorre principalmente por meio de links maliciosos, que atraem as vítimas sem que elas percebam. A utilização de processos legítimos para a infecção torna o Remcos RAT resiliente e difícil de ser detectado por soluções de segurança.

Especialistas em segurança revelaram uma campanha ativa de malware que explora uma vulnerabilidade de side-loading de DLL em um binário legítimo associado à biblioteca open-source c-ares. Os atacantes utilizam uma versão maliciosa da libcares-2.dll em conjunto com qualquer versão assinada do ahost.exe, frequentemente renomeada, para executar seu código e contornar defesas de segurança tradicionais. A campanha tem distribuído uma variedade de malwares, incluindo trojans como Agent Tesla e CryptBot, visando principalmente funcionários de setores como finanças e cadeia de suprimentos, com iscas em vários idiomas, incluindo português. O ataque se aproveita da técnica de hijacking da ordem de busca, permitindo que o malware execute o conteúdo da DLL maliciosa em vez da legítima. Além disso, a Trellix reportou um aumento em fraudes de phishing no Facebook, utilizando a técnica Browser-in-the-Browser para enganar usuários e roubar credenciais. A análise destaca a crescente sofisticação dos ataques que abusam de softwares legítimos e serviços de nuvem para evitar detecções e garantir acesso remoto persistente.

O Computer Emergency Response Team da Ucrânia (CERT-UA) revelou detalhes sobre uma série de ciberataques direcionados às suas forças de defesa, utilizando um malware chamado PLUGGYAPE entre outubro e dezembro de 2025. A atividade foi atribuída com média confiança a um grupo de hackers russo conhecido como Void Blizzard. Os ataques empregaram aplicativos de mensagens como Signal e WhatsApp, onde os invasores se disfarçaram de organizações de caridade para induzir as vítimas a clicarem em links maliciosos que levavam ao download de arquivos comprimidos protegidos por senha. Esses arquivos continham um executável criado com PyInstaller que, ao ser executado, implantava o PLUGGYAPE. Este malware, escrito em Python, estabelece comunicação com servidores remotos via WebSocket ou MQTT, permitindo que os operadores executem códigos arbitrários nas máquinas comprometidas. Além disso, os endereços de comando e controle (C2) são obtidos de serviços externos, o que aumenta a segurança operacional dos atacantes. O CERT-UA também destacou que a interação inicial com as vítimas está sendo realizada com contas legítimas e na língua ucraniana, demonstrando um conhecimento detalhado sobre os alvos. Essa situação evidencia a crescente utilização de mensageiros como vetores de entrega de ferramentas de ciberameaças, representando um risco significativo para a segurança cibernética na região.

Um relatório da ESET revela que o ecossistema Android na América Latina, especialmente no Brasil e México, continua sendo um alvo preferencial para cibercriminosos. Em 2025, três famílias de malware se destacaram entre as mais detectadas: Trojan.Android/Exploit.CVE-2012-6636, Trojan.Android/Exploit.Lotoor e Trojan.Android/Pandora. A primeira, com mais de uma década, explora vulnerabilidades em aplicativos desatualizados, enquanto a segunda se aproveita de falhas em dispositivos com acesso root. A terceira, uma variante do malware Mirai, transforma dispositivos em botnets para ataques DDoS. A ESET alerta que a fragmentação do sistema Android e o uso prolongado de aparelhos sem atualização contribuem para a persistência dessas ameaças. Recomendações incluem manter o sistema e aplicativos atualizados e evitar downloads de fontes não confiáveis.

O artigo destaca que, apesar da segurança cibernética frequentemente discutir novas ameaças, os ataques mais eficazes em 2025 são semelhantes aos de 2015. Os invasores continuam a explorar pontos de entrada conhecidos, mas com maior eficiência. A cadeia de suprimentos é um foco crítico, como demonstrado pela campanha Shai Hulud NPM, onde um único pacote comprometido pode afetar milhares de projetos. A inteligência artificial facilitou a execução de ataques, permitindo que até indivíduos realizem operações complexas que antes exigiam grandes equipes. O phishing permanece uma ameaça significativa, pois os humanos continuam sendo o elo mais fraco, exemplificado por um ataque recente que comprometeu pacotes com milhões de downloads. Além disso, extensões de navegador maliciosas continuam a contornar os mecanismos de segurança das lojas oficiais. O artigo conclui que, em vez de buscar novas estratégias de defesa, é essencial corrigir os modelos de permissão e fortalecer a verificação da cadeia de suprimentos, priorizando a segurança básica.

Pesquisadores de cibersegurança revelaram detalhes sobre a campanha SHADOW#REACTOR, que utiliza uma cadeia de ataque em múltiplas etapas para implantar uma ferramenta de administração remota chamada Remcos RAT. O processo de infecção começa com um script em Visual Basic ofuscado, que é executado via wscript.exe e invoca um downloader em PowerShell. Este downloader busca fragmentos de carga útil em um servidor remoto e os reconstrói em carregadores codificados. A execução final é realizada através do MSBuild.exe, um binário legítimo do Windows, que permite a instalação do backdoor Remcos RAT no sistema comprometido.

Pesquisadores de cibersegurança revelaram detalhes sobre o VoidLink, um novo e sofisticado framework de malware projetado para acesso prolongado e furtivo a ambientes de nuvem baseados em Linux. Descoberto em dezembro de 2025, o VoidLink é uma ferramenta modular que inclui carregadores personalizados, implantes, rootkits e plugins, permitindo que seus operadores adaptem suas capacidades ao longo do tempo. O framework é escrito na linguagem Zig e é capaz de detectar e se adaptar a ambientes de nuvem como AWS, Google Cloud e Microsoft Azure, além de coletar credenciais de sistemas de controle de versão como Git.

Recentemente, um conjunto de oito pacotes maliciosos foi identificado no registro npm, disfarçados como integrações para a plataforma de automação de workflows n8n. Esses pacotes, como ’n8n-nodes-hfgjf-irtuinvcm-lasdqewriit’, imitam integrações legítimas, como a do Google Ads, e têm como objetivo roubar credenciais OAuth dos desenvolvedores. A campanha representa uma escalada nas ameaças à cadeia de suprimentos, explorando plataformas de automação que atuam como cofres centralizados de credenciais, armazenando tokens OAuth e chaves de API de diversos serviços em um único local. Os pacotes maliciosos foram baixados milhares de vezes antes de serem removidos. A análise revelou que, embora alguns pacotes não apresentem problemas de segurança, outros têm histórico de malware. A n8n alertou sobre os riscos de usar nós comunitários do npm, que podem executar ações maliciosas na máquina onde o serviço está rodando. Os desenvolvedores são aconselhados a auditar pacotes antes da instalação e a usar integrações oficiais para mitigar riscos. A situação destaca a necessidade de vigilância constante e práticas de segurança rigorosas na integração de workflows não confiáveis.

Uma nova onda de ataques conhecidos como GoBruteforcer está direcionando suas ações contra bancos de dados de projetos de criptomoedas e blockchain, com o objetivo de cooptá-los em uma botnet capaz de realizar ataques de força bruta em senhas de serviços como FTP, MySQL e phpMyAdmin em servidores Linux. Segundo a Check Point Research, essa campanha é impulsionada pela reutilização em massa de exemplos de implantação de servidores gerados por inteligência artificial, que propagam nomes de usuários comuns e configurações padrão fracas. O GoBruteforcer, documentado pela primeira vez em março de 2023, tem se mostrado eficaz em plataformas Unix-like, utilizando um bot IRC e um shell web para acesso remoto. A análise mais recente revelou uma versão mais sofisticada do malware, que inclui um bot IRC ofuscado e listas dinâmicas de credenciais. Os atacantes utilizam uma combinação de nomes de usuários e senhas comuns, muitos dos quais são encontrados em tutoriais e documentação de fornecedores, o que facilita a exploração. Além disso, a campanha também visa endereços de blockchain, indicando um esforço coordenado para atacar projetos nesse setor. A Check Point destaca que a combinação de infraestrutura exposta, credenciais fracas e ferramentas automatizadas representa um problema persistente na segurança cibernética.

Recentemente, a cibersegurança enfrentou desafios significativos, destacando como pequenas falhas podem resultar em grandes consequências. Um exemplo alarmante é a vulnerabilidade crítica na plataforma de automação n8n, identificada como CVE-2026-21858, que permite execução remota de código sem autenticação, potencialmente comprometendo sistemas inteiros. Essa falha, que afeta versões anteriores à 1.121.0, é particularmente preocupante para organizações que utilizam n8n para automatizar fluxos de trabalho sensíveis.

Além disso, o botnet Kimwolf, uma variante do malware Aisuru, infectou mais de dois milhões de dispositivos Android, explorando vulnerabilidades em redes de proxy residenciais. O malware utiliza o Android Debug Bridge (ADB) exposto para executar comandos remotamente, aumentando o risco de comprometimento de dispositivos em redes internas.

Pesquisadores em cibersegurança revelaram a existência de dois provedores de serviços que sustentam redes criminosas online, especialmente no modelo conhecido como pig butchering-as-a-service (PBaaS). Desde 2016, grupos criminosos de língua chinesa têm estabelecido centros de fraude em larga escala no Sudeste Asiático, onde milhares de pessoas são forçadas a realizar golpes sob ameaça de violência. Esses centros operam com ferramentas fornecidas por serviços que facilitam operações de engenharia social e lavagem de dinheiro. Um dos principais atores, conhecido como Penguin Account Store, oferece kits de fraude e dados pessoais roubados, permitindo que qualquer um inicie operações fraudulentas com baixo custo e sem necessidade de expertise técnica. Além disso, a pesquisa destaca o uso crescente de domínios estacionados para redirecionar usuários a sites maliciosos. A situação é agravada por ferramentas como Evilginx, que permite ataques de phishing sofisticados, visando instituições educacionais nos EUA. A combinação desses fatores representa um risco significativo para a segurança cibernética global, incluindo o Brasil.

O artigo de Jaqueline Sousa explora as diferenças entre vírus, worms e trojans, três tipos de malware que ameaçam a segurança digital. Embora o termo ‘vírus’ seja frequentemente utilizado de forma genérica, ele se refere a um código malicioso que precisa de um hospedeiro, como um arquivo legítimo, para se propagar. Os worms, por outro lado, são autônomos e se replicam sem a necessidade de interação humana, explorando vulnerabilidades de rede. Já os trojans se disfarçam como softwares legítimos para enganar os usuários, permitindo que hackers acessem os dispositivos sem serem percebidos. O artigo também discute a origem do uso do termo ‘vírus’ e como ele se tornou uma metonímia para todas as ameaças digitais. Para se proteger, recomenda-se manter sistemas atualizados, evitar clicar em links suspeitos e verificar a veracidade das informações recebidas. A compreensão dessas diferenças é crucial para a segurança cibernética, especialmente em um cenário onde as ameaças estão em constante evolução.

O grupo de ciberespionagem iraniano conhecido como MuddyWater está por trás de uma nova campanha de spear-phishing que visa entidades diplomáticas, marítimas, financeiras e de telecomunicações no Oriente Médio. A campanha utiliza um implante baseado em Rust, denominado RustyWater, que é entregue através de documentos do Microsoft Word maliciosos que solicitam ao usuário habilitar conteúdo para ativar uma macro VBA. Essa macro é responsável por implantar o malware, que possui capacidades de controle remoto, persistência no registro do Windows e coleta de informações do sistema da vítima. MuddyWater, que opera desde 2017 e é vinculado ao Ministério da Inteligência e Segurança do Irã, tem evoluído suas táticas, reduzindo a dependência de softwares de acesso remoto legítimos em favor de um arsenal diversificado de malware. A atividade recente também foi observada em ataques a empresas de tecnologia e recursos humanos em Israel, destacando a relevância da ameaça. A introdução de implantes baseados em Rust representa uma evolução significativa nas capacidades do grupo, tornando suas operações mais estruturadas e discretas.

O grupo hacker chinês UAT-7290 tem se destacado por suas atividades de invasão a instituições no sul da Ásia e sudeste da Europa, utilizando malwares como RushDrop, DriveSwitch e SilentRaid. Desde 2022, o grupo tem se concentrado em realizar um reconhecimento técnico detalhado de seus alvos antes de executar os ataques, que incluem a instalação de centros de Operação de Caixa de Retransmissão (ORB) para garantir anonimato e facilitar a espionagem. Os malwares utilizados são predominantemente baseados em Linux e permitem uma série de atividades maliciosas, como execução de shellcode, gerenciamento de arquivos e keylogging. Os hackers estão associados a outros grupos chineses, como Stone Panda e RedFoxTrot, e utilizam vulnerabilidades zero-day e força bruta SSH para comprometer dispositivos. A maioria das vítimas está localizada no sul da Ásia, mas também há registros de ataques na Europa. A situação é preocupante, pois a infraestrutura de telecomunicações pode ser um alvo estratégico para espionagem e ataques cibernéticos em larga escala.

Pesquisadores de segurança da Group-IB identificaram uma nova campanha de malware chamada Ghost Tap, que visa fraudar transações de pagamento por aproximação (NFC) sem a necessidade de acessar fisicamente o cartão bancário das vítimas. O malware se disfarça como aplicativos legítimos de pagamento ou serviços financeiros, permitindo que os atacantes realizem transações fraudulentas remotamente. As vítimas são geralmente convencidas a instalar o aplicativo malicioso por meio de técnicas de smishing e vishing. Uma vez instalado, o malware transmite os dados do cartão para um servidor controlado pelos golpistas, que completam as transações usando terminais de ponto de venda (POS) obtidos ilegalmente. Entre novembro de 2024 e agosto de 2025, aproximadamente R$ 1,9 milhão foram roubados através de um terminal POS promovido no Telegram. Grupos como TX-NFC e X-NFC estão envolvidos na venda do malware, que já resultou em prisões em vários países. Para combater essa ameaça, é essencial unir a educação do usuário com um monitoramento mais rigoroso das fraudes.

Pesquisadores da Zscaler identificaram três pacotes npm maliciosos que distribuem um malware de acesso remoto chamado NodeCordRAT, disfarçado como bibliotecas relacionadas à criptomoeda Bitcoin. Os pacotes, bitcoin-main-lib, bitcoin-lib-js e bip40, foram removidos em novembro de 2025 após serem enviados por um usuário identificado como wenmoonx. Durante a instalação, os pacotes executam um script que instala o bip40, que contém o payload malicioso. O NodeCordRAT é um trojan que pode roubar dados sensíveis, como credenciais do Chrome e tokens de API, além de utilizar servidores do Discord para comunicação de comando e controle. O malware é capaz de executar comandos na máquina da vítima, tirar capturas de tela e enviar arquivos para o Discord. Embora os pacotes maliciosos tenham sido removidos, é essencial que os desenvolvedores permaneçam vigilantes ao baixar pacotes, verificando sua popularidade e comentários antes da instalação.

Uma nova campanha de malware, chamada ‘Boto Cor-de-Rosa’, foi identificada por especialistas da Acronis, utilizando o WhatsApp como meio para disseminar um software malicioso com foco em roubo de dados financeiros. O golpe se inicia quando a vítima recebe uma mensagem com um arquivo ZIP infectado, disfarçado de solicitação amigável. A mensagem é elaborada com uma linguagem casual e adaptada ao horário local, aumentando a probabilidade de que a vítima clique no arquivo. Uma vez extraído, o malware instala um payload bancário e um módulo de propagação que coleta automaticamente os contatos da vítima, enviando o mesmo arquivo malicioso para eles. O malware também monitora seu desempenho em tempo real, registrando estatísticas sobre a disseminação. Embora a ameaça tenha sido bloqueada, especialistas alertam para a necessidade de cautela ao abrir arquivos não solicitados, mesmo que enviados por contatos conhecidos, pois podem ser a porta de entrada para o roubo de informações sigilosas.

Pesquisadores de cibersegurança descobriram três pacotes npm maliciosos que visam distribuir um malware inédito chamado NodeCordRAT. Os pacotes, que foram removidos em novembro de 2025, são ‘bitcoin-main-lib’, ‘bitcoin-lib-js’ e ‘bip40’, todos enviados por um usuário identificado como ‘wenmoonx’. Os dois primeiros pacotes executam um script de pós-instalação que instala o pacote ‘bip40’, que contém o payload malicioso. O NodeCordRAT é um trojan de acesso remoto (RAT) que possui a capacidade de roubar credenciais do Google Chrome, tokens de API e frases-semente de carteiras de criptomoedas como a MetaMask. O malware utiliza servidores do Discord para comunicação de comando e controle, permitindo que o invasor execute comandos arbitrários, capture screenshots e exfiltre arquivos. A ameaça é considerada significativa, pois o ator por trás da campanha nomeou os pacotes de forma semelhante a repositórios legítimos do projeto bitcoinjs, o que pode enganar desenvolvedores. A Zscaler, empresa de cibersegurança que identificou a ameaça, alerta para a necessidade de vigilância em relação a pacotes npm e suas dependências.

O grupo de ameaças UAT-7290, vinculado à China, tem sido associado a intrusões focadas em espionagem contra entidades na Ásia do Sul e no Sudeste Europeu desde pelo menos 2022. De acordo com um relatório da Cisco Talos, a atividade deste ator é caracterizada por uma extensa fase de reconhecimento técnico das organizações-alvo antes de iniciar os ataques, que frequentemente resultam na implantação de malwares como RushDrop, DriveSwitch e SilentRaid.

Uma nova campanha de phishing, identificada em dezembro de 2025, está atacando o setor de hotelaria na Europa, utilizando uma falsa tela azul da morte do Windows para disseminar malware. Especialistas da Securonix alertam que os criminosos se disfarçam como hóspedes do Booking, enviando e-mails que simulam cancelamentos de reservas. Esses e-mails geram pânico nas vítimas ao prometer reembolsos altos, levando-as a clicar em links que direcionam a páginas fraudulentas. Uma vez na página falsa, um erro de carregamento é apresentado, incentivando o usuário a clicar em um botão de atualização. Nesse momento, a tela azul do Windows aparece, fazendo com que a vítima acredite que seu sistema está com problemas. O ataque ClickFix se concretiza quando a vítima é instruída a abrir a janela de ‘Executar’ e colar um comando malicioso, que instala um trojan de acesso remoto. Esse malware permite que os hackers controlem o dispositivo da vítima, roubando dados e comprometendo sistemas sem que a pessoa perceba. A falta de conhecimento sobre a tela azul da morte torna os usuários mais vulneráveis a esse tipo de golpe.