Roubo De Dados

O Arkanix Stealer, uma operação de malware voltada para roubo de informações, foi promovido em fóruns da dark web no final de 2025 e parece ter sido desenvolvido com assistência de inteligência artificial. O projeto, que incluiu um painel de controle e um servidor no Discord para interação com os usuários, foi descontinuado pelo autor apenas dois meses após seu lançamento. O malware apresenta uma arquitetura modular e recursos anti-análise, permitindo a coleta de informações do sistema, dados de navegadores e carteiras de criptomoedas de 22 navegadores diferentes. Além disso, é capaz de extrair tokens 0Auth2 de navegadores baseados em Chromium e roubar credenciais de plataformas como Telegram e Discord. A versão premium, escrita em C++, oferece funcionalidades adicionais, como roubo de credenciais RDP e captura de tela. Os pesquisadores da Kaspersky sugerem que o Arkanix foi um experimento de desenvolvimento rápido, visando lucros financeiros imediatos, o que dificulta sua detecção e rastreamento. A operação levanta preocupações sobre a utilização de assistentes de linguagem para o desenvolvimento de malware, destacando a necessidade de vigilância constante e medidas de segurança robustas.

Pesquisadores de cibersegurança descobriram extensões maliciosas do Google Chrome que têm a capacidade de sequestrar links de afiliados, roubar dados e coletar tokens de autenticação do OpenAI ChatGPT. Uma das extensões, chamada Amazon Ads Blocker, foi publicada na Chrome Web Store por um desenvolvedor identificado como ‘10Xprofit’ e promete bloquear anúncios na Amazon. No entanto, sua verdadeira função é injetar um código de afiliado do desenvolvedor em todos os links de produtos da Amazon, substituindo os códigos de afiliados de criadores de conteúdo. Essa prática prejudica os criadores que perdem comissões quando os usuários clicam em links alterados. Além disso, a extensão faz parte de um grupo maior de 29 complementos que visam várias plataformas de e-commerce, como AliExpress e Walmart. As extensões também foram encontradas coletando dados de produtos e enviando-os para um servidor remoto. A situação é agravada por outras extensões que roubam tokens de autenticação do ChatGPT, totalizando cerca de 900 downloads. A pesquisa destaca a necessidade de cautela ao instalar extensões, mesmo aquelas de fontes aparentemente confiáveis.

Pesquisadores da LayerX Security identificaram 16 extensões de navegador maliciosas que se disfarçam como ferramentas de produtividade para o ChatGPT, mas que têm como objetivo roubar informações e credenciais dos usuários. Essas extensões não atacam diretamente o chatbot, mas aproveitam-se do login do usuário para capturar suas credenciais. Todas as extensões foram criadas pelo mesmo autor, que as publicou em plataformas como a Chrome Web Store, onde uma delas chegou a receber o selo ‘Em Destaque’, conferindo-lhe uma aparência de legitimidade. Apesar de terem sido baixadas apenas cerca de 900 vezes, a preocupação reside na confiança que os usuários depositam em ferramentas desse tipo. Os hackers utilizam tokens de sessão, que são chaves temporárias que permitem ao navegador reconhecer um usuário logado, para se passar por eles e acessar dados sensíveis, incluindo conversas com o chatbot e informações corporativas em plataformas como Slack e Google Drive. Os pesquisadores alertam para a necessidade de tratar qualquer extensão relacionada a IA como um aplicativo de alto risco e recomendam a remoção de ferramentas não reconhecidas.

Pesquisadores da Varonis identificaram uma nova campanha de ciberataques chamada ‘Reprompt’, que utiliza o Microsoft Copilot para roubar dados de usuários. O ataque se aproveita de sessões legítimas da ferramenta de inteligência artificial, permitindo que informações sensíveis sejam extraídas através de comandos maliciosos. Os criminosos conseguem contornar as configurações de segurança do Copilot ao inserir um alerta corrompido em uma URL aparentemente verdadeira, evitando que a vítima precise clicar em links.

O Luma Infostealer, um malware sofisticado, está ressurgindo como uma ameaça cibernética significativa, focando em credenciais de alto valor e ativos sensíveis em sistemas Windows. Distribuído através de um modelo de Malware-as-a-Service (MaaS), permite que até mesmo atacantes com pouca habilidade realizem campanhas complexas de roubo de dados. O malware é frequentemente disseminado em campanhas de phishing disfarçadas como softwares piratas, hospedados em plataformas legítimas como o MEGA Cloud, para evitar detecções. Ao ser executado, o Luma realiza uma decriptação em múltiplas etapas e injeção de processos para ativar seu payload, ocultando seu comportamento de soluções antivírus tradicionais.

O Olymp Loader, uma oferta de Malware-as-a-Service (MaaS) do coletivo de cibercriminosos OLYMPO, tem ganhado popularidade entre criminosos de baixo e médio nível desde seu lançamento em 5 de junho de 2025. O software, totalmente escrito em linguagem assembly e promovido como FUD (Fully UnDetectable), combina atualizações rápidas de recursos com módulos de roubo integrados e técnicas agressivas de evasão de defesa. Inicialmente concebido como um botnet, o projeto foi rebatizado e pivotou para um loader focado em capacidades de ‘crypter’, atendendo à demanda do mercado. O Olymp Loader oferece módulos de roubo de dados para navegadores, Telegram e carteiras de criptomoedas, além de técnicas de evasão que incluem a adição de si mesmo às exclusões do Windows Defender. Com preços que variam de $50 a $200, o serviço permite personalizações e exclusividades, tornando-o acessível a uma ampla gama de usuários. A evolução contínua do Olymp Loader e suas funcionalidades exigem que as defesas cibernéticas monitorem ativamente as discussões em fóruns subterrâneos e comportamentos em sandbox para mitigar essa crescente ameaça.

Pesquisadores de cibersegurança revelaram duas campanhas de malvertising que distribuem extensões de navegador falsas para roubar dados sensíveis. A primeira campanha, identificada pela Bitdefender, promove uma extensão chamada SocialMetrics Pro, que promete desbloquear o selo de verificação azul no Facebook e Instagram. No entanto, essa extensão coleta cookies de sessão do Facebook e os envia para um bot no Telegram dos atacantes. Além disso, variantes da extensão utilizam esses cookies para acessar a API do Facebook Graph, potencialmente extraindo informações adicionais das contas.

Uma campanha de roubo de dados em larga escala comprometeu a plataforma de automação de vendas Salesloft, permitindo que hackers acessassem tokens OAuth e de atualização associados ao agente de chat de inteligência artificial Drift. A atividade, atribuída ao grupo de ameaças UNC6395, ocorreu entre 8 e 18 de agosto de 2025, visando instâncias de clientes do Salesforce através de tokens OAuth comprometidos. Os atacantes exportaram grandes volumes de dados, possivelmente para coletar credenciais que poderiam ser usadas para comprometer ambientes das vítimas, incluindo chaves de acesso da Amazon Web Services (AWS) e tokens de acesso relacionados ao Snowflake. A Salesloft identificou a questão de segurança e revogou proativamente as conexões entre Drift e Salesforce, enquanto a Salesforce confirmou que um número restrito de clientes foi impactado. Especialistas destacam a disciplina operacional dos atacantes, que deletaram registros de consultas para cobrir seus rastros, sugerindo uma estratégia de ataque mais ampla que poderia afetar a cadeia de suprimentos de tecnologia. As organizações são aconselhadas a revisar logs, revogar chaves de API e realizar investigações adicionais para determinar a extensão da violação.