Proxy

Um site falso do 7-Zip está distribuindo um instalador trojanizado da popular ferramenta de compactação, transformando computadores de usuários em nós de proxy residencial. Esses proxies são utilizados para contornar bloqueios e realizar atividades maliciosas, como phishing e distribuição de malware. A campanha ganhou notoriedade após um usuário relatar o download do instalador malicioso ao seguir um tutorial no YouTube. O site 7zip[.]com, que imita o legítimo 7-zip.org, ainda está ativo. O instalador, analisado pela Malwarebytes, contém arquivos maliciosos que criam um serviço no Windows para gerenciar o proxy. O malware coleta informações do sistema e se comunica com servidores de comando e controle (C2) utilizando técnicas de ofuscação. Além do 7-Zip, a campanha também utiliza instaladores trojanizados de outros softwares populares. Os pesquisadores alertam os usuários a evitarem links de download de vídeos do YouTube e recomendam que salvem os sites oficiais dos softwares que utilizam frequentemente.

O cenário da cibersegurança continua a evoluir com novos ataques e defesas. Recentemente, o Google desmantelou a rede de proxy residencial IPIDEA, que utilizava dispositivos de usuários como parte de cadeias de ataques cibernéticos. Essa rede permitia que criminosos ocultassem seu tráfego malicioso e expunha os dispositivos dos usuários a novos ataques. A ação legal do Google resultou na redução do número de dispositivos disponíveis na rede em milhões. Além disso, a Microsoft lançou patches para uma vulnerabilidade crítica em seu Office, classificada como CVE-2026-21509, que permitia a bypass de recursos de segurança. A Ivanti também corrigiu falhas em seu Endpoint Manager Mobile, que permitiam execução remota de código não autenticado. Em outro incidente, a Polônia atribuiu ataques cibernéticos a uma rede ligada ao serviço de segurança da Rússia, afetando usinas de energia. Por fim, uma nova campanha de cibercriminosos está explorando endpoints de IA expostos, visando roubar recursos e dados. Esses eventos destacam a necessidade de vigilância constante e atualização de sistemas de segurança.

Um novo relatório da Black Lotus Labs, da Lumen Technologies, revela a existência de uma rede de proxies chamada REM Proxy, que é alimentada pelo malware SystemBC. Este malware transforma computadores infectados em proxies SOCKS5, permitindo que os hosts infectados se comuniquem com servidores de comando e controle (C2) e baixem cargas adicionais. A REM Proxy é uma rede significativa, oferecendo cerca de 20.000 roteadores Mikrotik e uma variedade de proxies abertos disponíveis online. O SystemBC, documentado pela primeira vez em 2019, tem como alvo tanto sistemas Windows quanto Linux, e sua variante para Linux é utilizada principalmente para atacar redes corporativas e dispositivos IoT. A botnet é composta por mais de 80 servidores C2 e cerca de 1.500 vítimas diárias, com 80% delas sendo sistemas de servidores privados virtuais (VPS) comprometidos. A maioria dos servidores afetados apresenta várias vulnerabilidades conhecidas, com uma média de 20 CVEs não corrigidas por vítima. O malware é utilizado por grupos criminosos para realizar atividades maliciosas, como a força bruta de credenciais de sites WordPress, com o objetivo de vender essas credenciais em fóruns underground. O relatório destaca a resiliência operacional do SystemBC, que se estabeleceu como uma ameaça persistente no cenário de cibersegurança.