Sophos

Uma versão falsa do site Claude AI está oferecendo um download malicioso chamado Claude-Pro Relay, que instala uma backdoor para Windows chamada Beagle. O site fraudulento imita o design do site legítimo, mas falha em fornecer links funcionais, redirecionando os usuários para a página inicial. Ao clicar no botão de download, os usuários obtêm um arquivo comprimido de 505MB que contém um instalador MSI. A instalação adiciona arquivos ao diretório de inicialização do sistema, permitindo que os atacantes mantenham acesso remoto. A pesquisa da Sophos revelou que o instalador é uma cópia trojanizada que, embora funcione como esperado, implanta uma cadeia de malware PlugX em segundo plano. O Beagle, uma backdoor com comandos limitados, é carregado através do DonutLoader, que é um injetor em memória. A comunicação da backdoor ocorre com um servidor de comando e controle, utilizando criptografia AES para proteger as trocas. A Sophos sugere que os usuários devem garantir que estão baixando o Claude apenas do portal oficial e que a presença de arquivos ‘NOVupdate’ é um forte indicativo de comprometimento.

O ransomware Payouts King tem utilizado o emulador QEMU como uma backdoor reversa SSH para executar máquinas virtuais ocultas em sistemas comprometidos, contornando a segurança de endpoints. O QEMU, uma ferramenta de virtualização de código aberto, permite que atacantes executem cargas maliciosas e armazenem arquivos dentro de máquinas virtuais, que não são escaneadas pelas soluções de segurança do host. Pesquisadores da Sophos documentaram duas campanhas, uma delas associada ao grupo de ameaças GOLD ENCOUNTER, que utiliza tarefas agendadas para lançar VMs QEMU disfarçadas. A primeira campanha, STAC4713, foi observada em novembro de 2025, enquanto a segunda, STAC3725, explora a vulnerabilidade CitrixBleed 2 (CVE-2025-5777) para obter acesso inicial. Os atacantes têm usado VPNs expostas e engenharia social para infiltrar-se em redes, além de empregar técnicas de ofuscação e mecanismos anti-análise para evitar detecções. O esquema de criptografia do Payouts King combina AES-256 e RSA-4096, e as notas de resgate direcionam as vítimas a sites de vazamento na dark web. A Sophos recomenda que as organizações verifiquem instalações não autorizadas do QEMU e monitorem atividades suspeitas relacionadas a SSH.

A empresa de cibersegurança Sophos revelou que grupos de cibercriminosos estão utilizando a plataforma Shanya, que oferece um serviço de empacotamento de malware, conhecido como packer-as-a-service. Essa ferramenta permite que códigos maliciosos sejam ofuscados, dificultando sua detecção por antivírus e outras soluções de segurança. O uso do Shanya tem crescido desde o final de 2024, sendo empregado por grupos como Medusa, Qilin, Crytox e Akira, com foco em ransomwares que desativam soluções de detecção e resposta (EDR).

A Sophos divulgou uma vulnerabilidade crítica de bypass de autenticação que afeta sua série de Pontos de Acesso Sem Fio AP6, permitindo que atacantes não autorizados obtenham privilégios administrativos. A falha, identificada como CVE-2025-10159, foi descoberta durante testes internos de segurança e já foi corrigida na versão mais recente do firmware. A vulnerabilidade impacta dispositivos que executam versões de firmware anteriores à 1.7.2563 (MR7). Atacantes que conseguem acessar o endereço IP de gerenciamento do ponto de acesso podem explorar essa falha para contornar os mecanismos de autenticação, comprometendo a segurança da rede. Uma vez que um invasor obtém privilégios administrativos, ele pode alterar configurações de rede, interceptar comunicações sem fio e implantar firmware malicioso. A Sophos implementou atualizações automáticas para a maioria dos clientes, mas aqueles que optaram por não usar essa configuração devem atualizar manualmente o firmware para se proteger contra essa vulnerabilidade. Administradores de rede são aconselhados a verificar suas versões de firmware e aplicar o patch imediatamente para evitar possíveis brechas de segurança.