Roubo De Dados

Vulnerabilidade no Opera GX permite roubo de dados sem cliques

Pesquisadores descobriram uma falha crítica no Opera GX, a versão do navegador focada em jogos, que permitia que um site malicioso instalasse silenciosamente um complemento do navegador e extraísse dados específicos das páginas visitadas pela vítima. Em um teste de conceito, foi possível reconstruir o endereço completo do Gmail de um usuário logado a partir de uma única visita, sem necessidade de cliques. A Opera já corrigiu a vulnerabilidade na versão 130.0.5847.89 do navegador, afirmando que não encontrou evidências de que a falha foi explorada na prática. A vulnerabilidade foi classificada como P1 pela equipe de recompensas de bugs da Opera, que pagou o valor máximo de $5.000 pela descoberta. O problema reside na forma como os GX Mods são instalados automaticamente, sem qualquer solicitação de aprovação, permitindo que um site malicioso instale um mod silenciosamente. Embora a injeção de CSS em si não possa roubar dados, a técnica de ‘XS-Leak’ permite que informações sejam extraídas de forma gradual. A falha é preocupante, pois uma vez que o CSS de um mod é aplicado a todas as páginas visitadas, a possibilidade de roubo de dados se torna significativa. A Opera reconheceu a complexidade do ataque, mas os pesquisadores demonstraram que a exploração poderia ocorrer rapidamente, antes que a vítima pudesse reagir.

Ataque de Cadeia de Suprimentos Utiliza Pacotes npm e Go para Roubo de Dados

Pesquisadores de cibersegurança descobriram pacotes npm e Go sequestrados que implantam um infostealer baseado em Python em sistemas Windows, Linux e macOS. O ataque, identificado pela JFrog, utiliza uma tarefa oculta do Visual Studio Code (VS Code) chamada ’eslint-check’, que é ativada automaticamente ao abrir a pasta do projeto. O malware se conecta a uma infraestrutura controlada por atacantes, lançando um backdoor Socket.io e, em seguida, um infostealer Python. Os pacotes npm afetados, ‘html-to-gutenberg’ e ‘fetch-page-assets’, foram enviados ao registro npm em 25 de maio de 2026 e já foram removidos. Além disso, 16 pacotes Go também foram comprometidos, com a maioria sendo pacotes legítimos que incluíam o malware. O infostealer é capaz de roubar credenciais de navegadores, carteiras de criptomoedas e informações de desenvolvedores. Os usuários que instalaram esses pacotes devem removê-los imediatamente e revisar suas credenciais. O ataque é atribuído a uma campanha conhecida como ‘Fake Font’, que visa desenvolvedores por meio de processos de entrevistas fraudulentos.

Gangue ShinyHunters ataca servidores Oracle PeopleSoft em roubo de dados

Os servidores Oracle PeopleSoft estão sendo alvo de ataques de roubo de dados pela gangue de extorsão ShinyHunters, que afirma ter comprometido dados de mais de 100 organizações. O PeopleSoft é um software empresarial utilizado por grandes organizações para gerenciar operações como recursos humanos, finanças e administração estudantil. Recentemente, ataques generalizados foram relatados, afetando tanto instâncias em nuvem quanto locais do PeopleSoft. A gangue alega ter explorado uma ‘cadeia de gadgets’ composta por vulnerabilidades antigas e zero-day, embora a eficácia dos ataques dependa da configuração das instâncias. A Universidade de Nottingham foi identificada como uma das vítimas, com dados já publicados no site de vazamento da ShinyHunters. Pesquisadores de segurança encontraram diretórios expostos que revelam detalhes sobre os ataques, incluindo scripts para criar notas de resgate em servidores comprometidos. Especialistas recomendam que organizações que utilizam o PeopleSoft analisem logs para identificar conexões suspeitas e iniciem respostas a incidentes se forem alvo dos ataques. A situação é crítica, e a Oracle ainda não se manifestou oficialmente sobre as vulnerabilidades exploradas.

Hackers exploram Stripe e Google Tag Manager para roubo de cartões

Pesquisadores de cibersegurança da Sansec revelaram uma nova campanha de roubo de informações de pagamento que utiliza a API do Stripe e o Google Tag Manager (GTM). Os atacantes comprometeram sites de comércio eletrônico baseados em Magento/Adobe Commerce, inserindo um contêiner malicioso do GTM. Quando um usuário acessa o site, o código do GTM é carregado a partir dos servidores do Google, permitindo que um script malicioso seja executado durante o processo de checkout. Esse script monitora a página de pagamento e captura dados sensíveis, como números de cartão, CVV e informações pessoais. Os dados roubados são então ofuscados e enviados para uma conta controlada pelos atacantes no Stripe, utilizando a própria infraestrutura do Stripe para evitar detecções. Essa técnica permite que o malware passe despercebido por políticas de segurança e filtros de rede, tornando a situação ainda mais crítica para os usuários e comerciantes online.

Campanha Magecart usa Stripe para roubo de dados de cartões de crédito

Uma nova campanha do grupo Magecart está explorando a infraestrutura da API do Stripe para hospedar um código malicioso que rouba dados de cartões de crédito durante o processo de checkout. Pesquisadores da empresa de segurança em e-commerce Sansec identificaram que a atividade maliciosa utiliza o Google Tag Manager (GTM) e os domínios do Stripe, que são geralmente confiáveis por lojas online. O código malicioso é carregado de um contêiner do GTM e executado em todas as páginas que o carregam, permitindo que o skimmer evite regras de segurança que normalmente bloqueariam tráfego desconhecido. O malware é projetado para capturar informações sensíveis, como números de cartões de crédito, datas de validade e códigos CVV, além de dados pessoais dos clientes. Os dados roubados são armazenados localmente e enviados para a conta do atacante no Stripe como registros de clientes falsos. Além disso, uma variante do ataque utiliza o Google Firestore para armazenar os dados, disfarçando-se como tráfego legítimo. Para se proteger, os consumidores são aconselhados a usar cartões virtuais de uso único com limites definidos.

Pacote malicioso no npm rouba dados de usuários do Claude AI

Pesquisadores de cibersegurança identificaram um novo pacote malicioso no registro npm, denominado ‘mouse5212-super-formatter’, que possui capacidades de roubo de informações. Segundo a OX Security, o pacote é projetado para fazer upload de arquivos da pasta ‘/mnt/user-data’, utilizada pela ferramenta de inteligência artificial Claude, da Anthropic. O malware, apelidado de Malware-Slop, se apresenta como uma ferramenta interna de sincronização de repositórios do GitHub, mas na verdade, autentica-se na plataforma usando tokens de acesso encontrados no ambiente da vítima ou um token codificado como alternativa. Após verificar a existência de um repositório alvo, o malware cria um novo repositório, caso necessário, e faz o upload recursivo de todos os arquivos para uma conta controlada por um ator de ameaça. O pacote já foi baixado 676 vezes, mas não está claro quantas dessas correspondem a instalações reais. O GitHub associado à campanha foi desativado, embora tenha sido criado poucas horas antes do upload da versão maliciosa. O incidente levanta preocupações sobre a segurança operacional, pois o pacote vazou detalhes do token privado do GitHub, sugerindo que o ator de ameaça pode estar utilizando inteligência artificial para gerar malware sem seguir práticas básicas de segurança operacional.

Extensões maliciosas do VS Code ligadas a campanha de roubo de dados

Pesquisadores de cibersegurança identificaram 73 extensões maliciosas no repositório Open VSX do Microsoft Visual Studio Code (VS Code), associadas a uma campanha persistente de roubo de informações chamada GlassWorm. Dentre essas extensões, seis foram confirmadas como maliciosas, enquanto as demais atuam como pacotes ‘sleeper’, que enganam os usuários a baixá-las e confiar nelas antes de revelarem sua verdadeira intenção por meio de atualizações subsequentes. Publicadas no início de abril de 2026, essas extensões clonadas imitam suas contrapartes legítimas, utilizando os mesmos ícones e descrições para confundir desenvolvedores desavisados. A campanha GlassWorm v2, monitorada pela empresa de segurança Socket, já identificou mais de 320 artefatos desde dezembro de 2025. O objetivo final dos atacantes é executar malware que evite sistemas russos, roubar dados sensíveis e instalar um trojan de acesso remoto (RAT). A abordagem atual dos atacantes envolve o uso de pacotes ‘sleeper’ e dependências transitivas para evitar detecções, além de um dropper baseado em Zig que implanta uma extensão secundária do VSIX hospedada no GitHub, afetando todos os ambientes de desenvolvimento integrados (IDEs) na máquina do desenvolvedor.

Grupo de ameaças UNC6692 utiliza engenharia social para roubo de dados

O grupo de ameaças conhecido como UNC6692 tem utilizado táticas de engenharia social para implantar uma nova suíte de malware chamada “Snow”, que inclui uma extensão de navegador, um tunneler e um backdoor. O objetivo principal é roubar dados sensíveis após comprometer profundamente a rede, utilizando técnicas de roubo de credenciais e tomada de domínio. Pesquisadores da Mandiant, da Google, relataram que os atacantes empregam táticas de “email bombing” para criar um senso de urgência, contatando as vítimas via Microsoft Teams, se passando por agentes de suporte de TI.

Campanha de Extensões Maliciosas do Chrome Rouba Dados de Usuários

Pesquisadores de cibersegurança descobriram uma nova campanha envolvendo 108 extensões do Google Chrome que se comunicam com a mesma infraestrutura de comando e controle (C2) para coletar dados de usuários e permitir abusos no navegador. Essas extensões, publicadas sob cinco identidades distintas, acumulam cerca de 20.000 instalações na Chrome Web Store. A análise revelou que 54 extensões roubam identidades de contas do Google via OAuth2, enquanto 45 possuem uma porta dos fundos universal que abre URLs arbitrárias ao iniciar o navegador. Além disso, algumas extensões exfiltram sessões do Telegram a cada 15 segundos e injetam anúncios e scripts maliciosos em páginas visitadas. As extensões se disfarçam como ferramentas legítimas, como clientes do Telegram e jogos, mas na verdade capturam informações de sessão e injetam códigos maliciosos. Os usuários são aconselhados a remover essas extensões imediatamente e a desconectar suas sessões do Telegram. A análise de código revelou comentários em russo, sugerindo uma possível origem russa para os operadores.

Campanha de malware ataca lojas online Magento e rouba dados de cartões

Uma nova campanha de cibersegurança está afetando quase 100 lojas online que utilizam a plataforma de e-commerce Magento, inserindo um código malicioso para roubo de dados de cartões de crédito em uma imagem SVG de tamanho reduzido. Ao clicar no botão de checkout, os usuários são apresentados a uma sobreposição convincente que valida os dados do cartão e informações de cobrança. A empresa de segurança eCommerce Sansec identificou que o ataque provavelmente explorou a vulnerabilidade PolyShell, que permite a execução de código não autenticado e a tomada de controle de contas. O malware é injetado como um elemento SVG de 1x1 pixel com um manipulador ‘onload’ que contém o código do skimmer, evitando a detecção por scanners de segurança. Dados de pagamento submetidos são validados em tempo real e enviados ao atacante em um formato JSON ofuscado. A Sansec recomenda que os proprietários de sites verifiquem a presença de tags SVG ocultas e monitorem solicitações suspeitas. Até o momento, a Adobe não lançou uma atualização de segurança para corrigir a falha PolyShell em versões estáveis do Magento, o que aumenta o risco para os usuários da plataforma.

Ataques de roubo de dados afetam empresas após violação de SaaS

Mais de uma dúzia de empresas foram alvo de ataques de roubo de dados após a violação de um provedor de integração SaaS, resultando no roubo de tokens de autenticação. A maioria dos ataques visou a plataforma de dados em nuvem Snowflake, que confirmou a atividade incomum em algumas contas de clientes. A empresa tomou medidas imediatas, bloqueando contas potencialmente afetadas e notificando os clientes. Embora a Snowflake tenha afirmado que não houve comprometimento de seus sistemas, os ataques estão ligados a um incidente de segurança na Anodot, uma empresa de detecção de anomalias de dados. O grupo de extorsão ShinyHunters reivindicou a responsabilidade pelos ataques, alegando ter acesso a dados de várias empresas e tentando roubar informações da Salesforce, mas foi detectado antes de conseguir. O Google também está monitorando a situação, mas não divulgou mais informações. Este incidente destaca a vulnerabilidade das integrações de terceiros e a necessidade de vigilância contínua em relação a acessos não autorizados.

Novo malware CrystalRAT oferece serviços de acesso remoto e roubo de dados

O CrystalRAT, um novo malware como serviço (MaaS), está sendo promovido no Telegram e no YouTube, oferecendo funcionalidades como acesso remoto, roubo de dados, keylogging e sequestro de área de transferência. Lançado em janeiro, o CrystalRAT apresenta um modelo de assinatura em camadas e possui semelhanças com o WebRAT, incluindo design de painel e código baseado em Go. O malware conta com um painel de controle amigável e uma ferramenta de construção automatizada que permite personalizações, como geoblocking e recursos anti-análise. Os payloads gerados são comprimidos e criptografados para proteção. O componente de roubo de informações do CrystalRAT, que está temporariamente desativado para atualização, visa navegadores baseados em Chromium e coleta dados de aplicativos de desktop como Steam e Discord. Além disso, o malware possui um módulo de acesso remoto que permite executar comandos, transferir arquivos e controlar a máquina em tempo real. O CrystalRAT também inclui funcionalidades de prankware, como alterar a imagem de fundo da área de trabalho e forçar o desligamento do sistema, o que pode distrair as vítimas enquanto os módulos de roubo de dados operam em segundo plano. Para mitigar o risco de infecções, recomenda-se cautela ao interagir com conteúdos online e evitar downloads de fontes não confiáveis.

Campanha GlassWorm evolui com roubo de dados e trojan remoto

Pesquisadores de cibersegurança identificaram uma nova evolução da campanha GlassWorm, que agora utiliza um framework de múltiplas etapas para roubo de dados e instalação de um trojan de acesso remoto (RAT). Este malware se disfarça como uma extensão offline do Google Docs e é capaz de registrar teclas, capturar cookies, tokens de sessão e tirar screenshots. A campanha se infiltra em sistemas através de pacotes maliciosos publicados em repositórios como npm e PyPI, e compromete contas de mantenedores de projetos para disseminar atualizações contaminadas.

Operação Arkanix Stealer Malware de roubo de informações em ascensão

O Arkanix Stealer, uma operação de malware voltada para roubo de informações, foi promovido em fóruns da dark web no final de 2025 e parece ter sido desenvolvido com assistência de inteligência artificial. O projeto, que incluiu um painel de controle e um servidor no Discord para interação com os usuários, foi descontinuado pelo autor apenas dois meses após seu lançamento. O malware apresenta uma arquitetura modular e recursos anti-análise, permitindo a coleta de informações do sistema, dados de navegadores e carteiras de criptomoedas de 22 navegadores diferentes. Além disso, é capaz de extrair tokens 0Auth2 de navegadores baseados em Chromium e roubar credenciais de plataformas como Telegram e Discord. A versão premium, escrita em C++, oferece funcionalidades adicionais, como roubo de credenciais RDP e captura de tela. Os pesquisadores da Kaspersky sugerem que o Arkanix foi um experimento de desenvolvimento rápido, visando lucros financeiros imediatos, o que dificulta sua detecção e rastreamento. A operação levanta preocupações sobre a utilização de assistentes de linguagem para o desenvolvimento de malware, destacando a necessidade de vigilância constante e medidas de segurança robustas.

Extensões maliciosas do Chrome roubam dados e links de afiliados

Pesquisadores de cibersegurança descobriram extensões maliciosas do Google Chrome que têm a capacidade de sequestrar links de afiliados, roubar dados e coletar tokens de autenticação do OpenAI ChatGPT. Uma das extensões, chamada Amazon Ads Blocker, foi publicada na Chrome Web Store por um desenvolvedor identificado como ‘10Xprofit’ e promete bloquear anúncios na Amazon. No entanto, sua verdadeira função é injetar um código de afiliado do desenvolvedor em todos os links de produtos da Amazon, substituindo os códigos de afiliados de criadores de conteúdo. Essa prática prejudica os criadores que perdem comissões quando os usuários clicam em links alterados. Além disso, a extensão faz parte de um grupo maior de 29 complementos que visam várias plataformas de e-commerce, como AliExpress e Walmart. As extensões também foram encontradas coletando dados de produtos e enviando-os para um servidor remoto. A situação é agravada por outras extensões que roubam tokens de autenticação do ChatGPT, totalizando cerca de 900 downloads. A pesquisa destaca a necessidade de cautela ao instalar extensões, mesmo aquelas de fontes aparentemente confiáveis.

Cuidado com a ajuda 16 extensões de ChatGPT roubam contas

Pesquisadores da LayerX Security identificaram 16 extensões de navegador maliciosas que se disfarçam como ferramentas de produtividade para o ChatGPT, mas que têm como objetivo roubar informações e credenciais dos usuários. Essas extensões não atacam diretamente o chatbot, mas aproveitam-se do login do usuário para capturar suas credenciais. Todas as extensões foram criadas pelo mesmo autor, que as publicou em plataformas como a Chrome Web Store, onde uma delas chegou a receber o selo ‘Em Destaque’, conferindo-lhe uma aparência de legitimidade. Apesar de terem sido baixadas apenas cerca de 900 vezes, a preocupação reside na confiança que os usuários depositam em ferramentas desse tipo. Os hackers utilizam tokens de sessão, que são chaves temporárias que permitem ao navegador reconhecer um usuário logado, para se passar por eles e acessar dados sensíveis, incluindo conversas com o chatbot e informações corporativas em plataformas como Slack e Google Drive. Os pesquisadores alertam para a necessidade de tratar qualquer extensão relacionada a IA como um aplicativo de alto risco e recomendam a remoção de ferramentas não reconhecidas.

Microsoft Copilot alvo de ciberataques com roubo de dados

Pesquisadores da Varonis identificaram uma nova campanha de ciberataques chamada ‘Reprompt’, que utiliza o Microsoft Copilot para roubar dados de usuários. O ataque se aproveita de sessões legítimas da ferramenta de inteligência artificial, permitindo que informações sensíveis sejam extraídas através de comandos maliciosos. Os criminosos conseguem contornar as configurações de segurança do Copilot ao inserir um alerta corrompido em uma URL aparentemente verdadeira, evitando que a vítima precise clicar em links.

Malware Luma Infostealer Lança Ataques para Roubar Dados Sensíveis

O Luma Infostealer, um malware sofisticado, está ressurgindo como uma ameaça cibernética significativa, focando em credenciais de alto valor e ativos sensíveis em sistemas Windows. Distribuído através de um modelo de Malware-as-a-Service (MaaS), permite que até mesmo atacantes com pouca habilidade realizem campanhas complexas de roubo de dados. O malware é frequentemente disseminado em campanhas de phishing disfarçadas como softwares piratas, hospedados em plataformas legítimas como o MEGA Cloud, para evitar detecções. Ao ser executado, o Luma realiza uma decriptação em múltiplas etapas e injeção de processos para ativar seu payload, ocultando seu comportamento de soluções antivírus tradicionais.

Novo Olymp Loader promete contornar Defender com Malware como Serviço

O Olymp Loader, uma oferta de Malware-as-a-Service (MaaS) do coletivo de cibercriminosos OLYMPO, tem ganhado popularidade entre criminosos de baixo e médio nível desde seu lançamento em 5 de junho de 2025. O software, totalmente escrito em linguagem assembly e promovido como FUD (Fully UnDetectable), combina atualizações rápidas de recursos com módulos de roubo integrados e técnicas agressivas de evasão de defesa. Inicialmente concebido como um botnet, o projeto foi rebatizado e pivotou para um loader focado em capacidades de ‘crypter’, atendendo à demanda do mercado. O Olymp Loader oferece módulos de roubo de dados para navegadores, Telegram e carteiras de criptomoedas, além de técnicas de evasão que incluem a adição de si mesmo às exclusões do Windows Defender. Com preços que variam de $50 a $200, o serviço permite personalizações e exclusividades, tornando-o acessível a uma ampla gama de usuários. A evolução contínua do Olymp Loader e suas funcionalidades exigem que as defesas cibernéticas monitorem ativamente as discussões em fóruns subterrâneos e comportamentos em sandbox para mitigar essa crescente ameaça.

Campanhas de malvertising visam roubo de dados via extensões falsas

Pesquisadores de cibersegurança revelaram duas campanhas de malvertising que distribuem extensões de navegador falsas para roubar dados sensíveis. A primeira campanha, identificada pela Bitdefender, promove uma extensão chamada SocialMetrics Pro, que promete desbloquear o selo de verificação azul no Facebook e Instagram. No entanto, essa extensão coleta cookies de sessão do Facebook e os envia para um bot no Telegram dos atacantes. Além disso, variantes da extensão utilizam esses cookies para acessar a API do Facebook Graph, potencialmente extraindo informações adicionais das contas.

Campanha de roubo de dados compromete plataforma Salesloft

Uma campanha de roubo de dados em larga escala comprometeu a plataforma de automação de vendas Salesloft, permitindo que hackers acessassem tokens OAuth e de atualização associados ao agente de chat de inteligência artificial Drift. A atividade, atribuída ao grupo de ameaças UNC6395, ocorreu entre 8 e 18 de agosto de 2025, visando instâncias de clientes do Salesforce através de tokens OAuth comprometidos. Os atacantes exportaram grandes volumes de dados, possivelmente para coletar credenciais que poderiam ser usadas para comprometer ambientes das vítimas, incluindo chaves de acesso da Amazon Web Services (AWS) e tokens de acesso relacionados ao Snowflake. A Salesloft identificou a questão de segurança e revogou proativamente as conexões entre Drift e Salesforce, enquanto a Salesforce confirmou que um número restrito de clientes foi impactado. Especialistas destacam a disciplina operacional dos atacantes, que deletaram registros de consultas para cobrir seus rastros, sugerindo uma estratégia de ataque mais ampla que poderia afetar a cadeia de suprimentos de tecnologia. As organizações são aconselhadas a revisar logs, revogar chaves de API e realizar investigações adicionais para determinar a extensão da violação.