Roubo De Credenciais

Pesquisadores de cibersegurança identificaram uma nova campanha de ataque à cadeia de suprimentos que comprometeu múltiplos pacotes PHP pertencentes ao Laravel-Lang, visando implantar um framework abrangente para roubo de credenciais. Os pacotes afetados incluem ’laravel-lang/lang’, ’laravel-lang/http-statuses’, entre outros, com mais de 700 versões identificadas, sugerindo um comprometimento automatizado do processo de liberação da organização. O arquivo malicioso, ‘src/helpers.php’, é executado automaticamente em cada requisição PHP, permitindo que o malware colete uma vasta gama de dados, como credenciais de serviços em nuvem, tokens de autenticação e informações de navegadores. O ataque foi realizado entre 22 e 23 de maio de 2026, e o malware se comunica com um servidor externo para exfiltrar dados. Este incidente destaca a vulnerabilidade das cadeias de suprimentos de software e a necessidade de vigilância constante por parte das organizações que utilizam essas tecnologias.

Um novo malware, denominado Quasar Linux RAT (QLNX), foi descoberto visando sistemas de desenvolvedores e ambientes DevOps. Este implante, que opera de forma silenciosa, é capaz de realizar uma série de atividades maliciosas, incluindo o roubo de credenciais, keylogging, manipulação de arquivos e monitoramento de clipboard. Segundo pesquisadores da Trend Micro, o QLNX extrai informações sensíveis de arquivos críticos, como .npmrc e .git-credentials, permitindo que atacantes comprometam pipelines de publicação de software e acessem infraestruturas em nuvem.

Pesquisadores de cibersegurança da Cisco Talos divulgaram detalhes sobre uma intrusão que utiliza a ferramenta de acesso remoto CloudZ RAT e um plugin não documentado chamado Pheno, com o objetivo de roubar credenciais de usuários. O ataque se destaca por explorar a aplicação Microsoft Phone Link, que permite a sincronização entre dispositivos, para interceptar dados sensíveis, como senhas e códigos de autenticação de dois fatores (OTPs), sem a necessidade de comprometer o dispositivo móvel.

A Microsoft revelou uma campanha de roubo de credenciais em larga escala que utilizou iscas relacionadas a códigos de conduta e serviços de e-mail legítimos para direcionar usuários a domínios controlados por atacantes. Observada entre 14 e 16 de abril de 2026, a campanha afetou mais de 35 mil usuários em mais de 13 mil organizações em 26 países, com 92% dos alvos localizados nos EUA. Os e-mails de phishing, que visavam principalmente os setores de saúde (19%), serviços financeiros (18%) e tecnologia (11%), apresentavam templates HTML sofisticados que aumentavam sua credibilidade. As mensagens criavam um senso de urgência, solicitando ações imediatas sob a alegação de revisões de conduta interna. Os atacantes usaram serviços de entrega de e-mail legítimos e incluíram anexos PDF que levavam a um fluxo de coleta de credenciais. A campanha utilizou táticas de phishing adversário no meio (AiTM) para contornar autenticações multifatoriais (MFA). Além disso, a análise da Microsoft indicou um aumento significativo em ataques de phishing via QR code e uma evolução rápida em phishing com CAPTCHA. Com 8,3 bilhões de ameaças de phishing detectadas entre janeiro e março de 2026, a situação exige atenção redobrada das organizações.

Uma versão maliciosa do pacote PyTorch Lightning, publicada no Python Package Index (PyPI), foi descoberta com um payload que rouba credenciais de navegadores, arquivos de ambiente e serviços em nuvem. O desenvolvedor do pacote revelou o ataque à cadeia de suprimentos em 30 de abril, informando que a versão 2.6.3 incluía uma cadeia de execução oculta que baixa e executa um payload JavaScript. O PyTorch Lightning é um framework popular de aprendizado profundo, com mais de 11 milhões de downloads no último mês. O advisory de segurança do mantenedor destaca que a cadeia de execução maliciosa é ativada automaticamente ao importar o pacote, criando um processo em segundo plano que baixa um runtime JavaScript e executa um payload ofuscado de 11,4 MB. O malware, identificado como “ShaiWorm” pelo Microsoft Defender, visa arquivos .env, chaves de API, segredos e dados armazenados em navegadores como Chrome e Firefox. A Microsoft informou que a atividade maliciosa afetou um número limitado de dispositivos e foi contida em um conjunto restrito de ambientes. Os usuários que importaram a versão 2.6.3 devem rotacionar imediatamente suas credenciais. O PyTorch Lightning foi revertido para a versão 2.6.1, considerada segura, enquanto a investigação sobre como a violação ocorreu continua.

O infostealer Storm, que surgiu em redes de cibercrime em 2026, marca uma nova fase na evolução do roubo de credenciais. Por menos de mil dólares mensais, operadores podem acessar um software que coleta credenciais de navegadores, cookies de sessão e dados de carteiras de criptomoedas, enviando tudo para servidores controlados pelos atacantes. A mudança na abordagem se deve à introdução da App-Bound Encryption no Chrome, dificultando a decriptação local e levando os desenvolvedores a optar pela decriptação em servidores. O Storm é capaz de lidar com navegadores baseados em Chromium e Gecko, coletando dados essenciais para restaurar sessões comprometidas e acessar plataformas SaaS sem alertar sobre a violação. A coleta de dados inclui senhas salvas, cookies de sessão e informações de contas, permitindo que um único navegador comprometido forneça acesso a múltiplos serviços. O artigo destaca a automação do processo de restauração de sessões, que torna o ataque ainda mais eficiente. Com um modelo de assinatura acessível, o Storm representa uma ameaça significativa, especialmente para empresas que utilizam serviços amplamente adotados como Google e Microsoft 365.

Uma nova campanha de phishing está atacando ambientes corporativos francófonos, utilizando currículos falsos para implantar mineradores de criptomoedas e ferramentas de roubo de informações. Os pesquisadores da Securonix, Shikha Sangwan, Akshay Gaikwad e Aaron Beardslee, relataram que a campanha, chamada FAUX#ELEVATE, utiliza arquivos VBScript altamente ofuscados disfarçados como documentos de currículos, entregues por meio de e-mails de phishing. Ao serem executados, esses arquivos ativam um kit de ferramentas multifuncional que combina roubo de credenciais, exfiltração de dados e mineração de criptomoedas Monero. A campanha se destaca pelo uso de serviços legítimos, como Dropbox e sites WordPress, para hospedar e distribuir os payloads. O dropper inicial mostra uma mensagem de erro em francês, enganando os usuários e executando um código ofuscado que contorna mecanismos de defesa. Após obter privilégios administrativos, o malware desativa controles de segurança e realiza a exfiltração de dados através de contas de e-mail comprometidas. A rapidez da execução, que leva apenas 25 segundos do início ao fim da cadeia de infecção, e o foco em máquinas corporativas tornam essa ameaça particularmente perigosa para a segurança das empresas.

Pesquisadores de cibersegurança revelaram uma campanha ativa de worm na cadeia de suprimentos, denominada SANDWORM_MODE, que utiliza pelo menos 19 pacotes npm maliciosos para roubo de credenciais e chaves de criptomoedas. Os pacotes, publicados por dois aliases, contêm código malicioso que coleta informações do sistema, tokens de acesso e segredos de ambiente, além de se propagar por meio de identidades roubadas do npm e GitHub. A campanha inclui um módulo chamado ‘McpInject’, que visa assistentes de codificação baseados em IA, injetando um servidor de protocolo de contexto malicioso (MCP) em suas configurações. O malware também possui um mecanismo polimórfico para evitar detecções, sugerindo que os operadores pretendem lançar versões futuras. Os usuários que instalaram esses pacotes devem removê-los imediatamente, rotacionar tokens e revisar arquivos de configuração para alterações inesperadas. A situação é crítica, pois a campanha representa um alto risco de comprometimento ativo, exigindo atenção imediata dos profissionais de segurança da informação.

Os infostealers modernos têm ampliado o roubo de credenciais, coletando não apenas nomes de usuário e senhas, mas também dados de sessão e atividades dos usuários. Um estudo da Specops analisou mais de 90.000 vazamentos de infostealers, totalizando mais de 800 milhões de registros, que incluem credenciais, cookies de navegador e histórico de navegação. Essa coleta de dados permite que atacantes associem informações técnicas a usuários reais, tornando uma única infecção valiosa mesmo após a violação inicial. O maior risco é a facilidade com que os dados roubados conectam múltiplas contas e comportamentos a uma única pessoa, desmoronando a barreira entre identidade pessoal e profissional. A política de senhas da Specops ajuda a mitigar esse risco, bloqueando credenciais já comprometidas. Os dados vazados incluem informações de serviços profissionais como LinkedIn e GitHub, além de plataformas pessoais como Facebook e YouTube, facilitando ataques direcionados. A exposição de credenciais em dispositivos pessoais pode rapidamente escalar para riscos em ambientes corporativos, especialmente devido à reutilização de senhas. Portanto, a implementação de políticas de senhas mais robustas e a conscientização sobre a segurança são essenciais para proteger tanto identidades pessoais quanto corporativas.

Recentemente, a empresa de cibersegurança Socket identificou uma campanha maliciosa envolvendo cinco extensões do Chrome, que se disfarçavam como ferramentas de produtividade e segurança para plataformas de recursos humanos (HR) e de planejamento de recursos empresariais (ERP) como Workday, NetSuite e SAP SuccessFactors. Essas extensões, que foram instaladas mais de 2.300 vezes, têm como objetivo roubar credenciais de autenticação e bloquear páginas de gerenciamento utilizadas para responder a incidentes de segurança.

Recentemente, um conjunto de oito pacotes maliciosos foi identificado no registro npm, disfarçados como integrações para a plataforma de automação de workflows n8n. Esses pacotes, como ’n8n-nodes-hfgjf-irtuinvcm-lasdqewriit’, imitam integrações legítimas, como a do Google Ads, e têm como objetivo roubar credenciais OAuth dos desenvolvedores. A campanha representa uma escalada nas ameaças à cadeia de suprimentos, explorando plataformas de automação que atuam como cofres centralizados de credenciais, armazenando tokens OAuth e chaves de API de diversos serviços em um único local. Os pacotes maliciosos foram baixados milhares de vezes antes de serem removidos. A análise revelou que, embora alguns pacotes não apresentem problemas de segurança, outros têm histórico de malware. A n8n alertou sobre os riscos de usar nós comunitários do npm, que podem executar ações maliciosas na máquina onde o serviço está rodando. Os desenvolvedores são aconselhados a auditar pacotes antes da instalação e a usar integrações oficiais para mitigar riscos. A situação destaca a necessidade de vigilância constante e práticas de segurança rigorosas na integração de workflows não confiáveis.

Pesquisadores de cibersegurança revelaram uma campanha de spear-phishing que utilizou 27 pacotes maliciosos no registro npm para roubar credenciais. A operação, que durou cinco meses, visou principalmente profissionais de vendas e comerciais em organizações de infraestrutura crítica nos EUA e países aliados. Os pacotes, que não precisam ser instalados, servem como infraestrutura para hospedar iscas em HTML e JavaScript que imitam portais de compartilhamento de documentos e páginas de login da Microsoft. Os atacantes implementaram várias técnicas para dificultar a análise, como a obfuscação do código e a inclusão de campos de formulário honeypot. Além disso, os pacotes continham endereços de e-mail de 25 indivíduos específicos em setores como manufatura e saúde, levantando suspeitas sobre como os atacantes obtiveram essas informações. Para mitigar os riscos, é crucial que as organizações reforcem a verificação de dependências, monitorem solicitações incomuns de CDNs e implementem autenticação multifator resistente a phishing.

O grupo de ameaças patrocinado pelo Estado russo, conhecido como APT28, está conduzindo uma campanha de roubo de credenciais direcionada a usuários do serviço de webmail e notícias UKR.net, popular na Ucrânia. Observada entre junho de 2024 e abril de 2025 pela Recorded Future, essa atividade se baseia em ataques anteriores que utilizavam malware e páginas de phishing. APT28, também conhecido como Fancy Bear, é associado ao GRU, a principal agência de inteligência militar da Rússia.

A campanha Contagious Interview, atribuída a atores de ameaça da Coreia do Norte, continua a inundar o registro npm com pacotes maliciosos, totalizando 197 novos pacotes desde o mês passado. Esses pacotes, que já foram baixados mais de 31.000 vezes, têm como objetivo entregar uma variante do malware OtterCookie, que combina características de versões anteriores. Entre os pacotes identificados estão ‘bcryptjs-node’, ‘cross-sessions’ e ‘webpack-loadcss’. O malware, ao ser executado, tenta evitar ambientes de sandbox e máquinas virtuais, além de estabelecer um canal de comando e controle (C2) para permitir que os atacantes tenham acesso remoto ao sistema comprometido. As capacidades incluem roubo de credenciais, captura de telas e registro de teclas. A campanha também se destaca por utilizar sites falsos de avaliação que disfarçam a entrega de outro malware, o GolangGhost, sob a aparência de resolver problemas de câmera ou microfone. Essa abordagem inovadora visa comprometer indivíduos através de processos de recrutamento fraudulentos, tornando a aplicação para empregos uma arma. A análise revela que a URL de C2 é codificada e que a conta do GitHub utilizada para a entrega do malware não está mais acessível.

Uma nova campanha de malware chamada TamperedChef tem causado preocupação entre organizações europeias ao se disfarçar como um editor de PDF legítimo, o AppSuite PDF Editor. O malware, que permaneceu inativo por quase dois meses, foi ativado em 21 de agosto de 2025, e começou a roubar credenciais de navegadores, permitindo a instalação de backdoors. O ataque começou com anúncios em motores de busca que redirecionavam usuários para domínios controlados pelos atacantes, onde um pacote de instalação malicioso era oferecido. Após a instalação, o malware se escondia sob a aparência de um editor de PDF, enquanto coletava informações sensíveis armazenadas em navegadores como Chrome, Firefox e Edge. Os atacantes também lançaram atualizações do aplicativo que removiam a lógica maliciosa visível, mas mantinham conexões com a infraestrutura controlada por eles. Além disso, uma variante chamada S3-Forge está sendo testada, indicando uma evolução nas táticas de distribuição. Para mitigar os riscos, as organizações devem proibir instalações de anúncios não confiáveis, implementar listas de permissões rigorosas e monitorar atividades suspeitas em aplicações Electron.

Desde sua estreia em 2011, o SmokeLoader evoluiu de um downloader simples para um framework modular robusto, utilizado para implantar malware secundário, como ransomware e trojans. Apesar de uma operação conjunta em maio de 2024 que eliminou muitas instâncias do SmokeLoader, novas variantes surgiram em 2025, incorporando técnicas avançadas de evasão que dificultam a detecção. A sequência de infecção do SmokeLoader começa com um stager compacto que injeta o módulo principal no processo explorer.exe, agora com um controle de mutex mais robusto que previne injeções duplicadas. As novas versões utilizam rotinas de ofuscação baseadas em XOR e um protocolo de comunicação RC4 criptografado, dificultando a análise de protocolos. O verdadeiro poder do SmokeLoader reside em sua arquitetura de plugins, que permite o roubo de credenciais de navegadores, senhas de FTP e ataques DDoS. Para combater essa ameaça, a Zscaler ThreatLabz lançou o SmokeBuster, uma ferramenta de sanitização de código aberto que reconhece e elimina as variantes mais recentes do SmokeLoader. A persistência e as contínuas melhorias do SmokeLoader destacam sua natureza como uma ameaça duradoura e em constante evolução.

Pesquisadores de cibersegurança da CYFIRMA identificaram um infostealer sofisticado, denominado Salat Stealer (ou WEB_RAT), que opera com uma infraestrutura avançada de comando e controle (C2) para extrair dados sensíveis de sistemas Windows. Este malware é especialmente eficaz na exfiltração de credenciais de navegadores, informações de carteiras de criptomoedas e dados de sessão, utilizando diversas técnicas de evasão para evitar a detecção. O arquivo analisado, com 3,14 MB, apresenta um alto valor de entropia, indicando forte ofuscação. Ao ser executado, o Salat Stealer implementa mecanismos de persistência, como entradas no registro e tarefas agendadas com nomes enganosos, para se disfarçar como processos legítimos do sistema.

Uma nova campanha de roubo de credenciais, identificada como MCTO3030 pela equipe de pesquisa de ameaças da Mimecast, está atacando administradores dos serviços em nuvem ConnectWise ScreenConnect. Desde 2022, essa operação tem utilizado táticas avançadas de phishing direcionado, visando profissionais de TI com privilégios de superadministrador. Os ataques são realizados através do Amazon Simple Email Service (SES), permitindo alta taxa de entrega ao explorar uma infraestrutura respeitável para contornar mecanismos de filtragem. Os e-mails, que imitam alertas de segurança corporativa, induzem os destinatários a clicar em um botão de “Revisar Segurança”, redirecionando-os para páginas de login falsas do ScreenConnect. Essas páginas utilizam frameworks EvilGinx para capturar credenciais de login e códigos de autenticação multifatorial (MFA) em tempo real, permitindo que os atacantes obtenham acesso total, mesmo com MFA em vigor. Com as credenciais de superadministrador, os cibercriminosos podem se mover lateralmente em ambientes corporativos, potencialmente implantando clientes remotos e distribuindo cargas maliciosas, como ransomware. A Mimecast recomenda que as organizações adotem medidas de defesa, como MFA resistente a phishing e restrições de acesso para superadministradores.

Pesquisadores de cibersegurança descobriram uma campanha de malware sofisticada chamada “Solana-Scan”, que visa especificamente desenvolvedores de criptomoedas no ecossistema Solana por meio de pacotes npm maliciosos. A campanha, que começou em 15 de agosto de 2025, afeta principalmente desenvolvedores russos e utiliza técnicas avançadas de roubo de informações para coletar credenciais de criptomoedas e arquivos de carteira. Três pacotes npm maliciosos foram identificados: “solana-pump-test”, “solana-spl-sdk” e “solana-pump-sdk”, que se disfarçaram como ferramentas legítimas de escaneamento do SDK Solana. O malware executa um payload em duas etapas, coletando dados ambientais e, em seguida, escaneando sistemas comprometidos em busca de arquivos sensíveis. Os dados roubados são enviados para um servidor de comando e controle nos EUA, que expõe informações das vítimas, levantando questões sobre possível envolvimento estatal. A detecção desse tipo de ataque é desafiadora para ferramentas tradicionais de segurança, e recomenda-se que as organizações implementem soluções de escaneamento de pacotes em tempo real e mantenham inventários de dependências atualizados.