Telegram

Pesquisadores de cibersegurança descobriram uma operação de fraude em larga escala que utiliza o recurso de Mini Apps do Telegram para realizar golpes relacionados a criptomoedas, imitar marcas conhecidas e distribuir malware para Android. Segundo um relatório da CTM360, a plataforma, chamada FEMITBOT, utiliza respostas de API para criar experiências convincentes dentro do aplicativo de mensagens. Os golpistas imitam marcas renomadas como Apple, Coca-Cola e Disney, aumentando a credibilidade das suas fraudes. Ao interagir com bots do Telegram, os usuários são levados a Mini Apps que exibem páginas de phishing, mostrando saldos falsos e ofertas limitadas para induzir a depósitos. Além disso, alguns Mini Apps tentam distribuir malware disfarçado de aplicativos legítimos. Os pesquisadores alertam que os usuários devem ter cautela ao interagir com bots que promovem investimentos em criptomoedas ou solicitam downloads de aplicativos, especialmente fora da Google Play Store. A operação é considerada uma ameaça significativa, com um potencial impacto na segurança dos usuários e na conformidade com a LGPD.

A Ofcom, reguladora independente de comunicações do Reino Unido, iniciou uma investigação sobre o Telegram devido a evidências de que a plataforma está sendo utilizada para compartilhar material de abuso sexual infantil (CSAM). A investigação foi motivada por informações recebidas do Canadian Centre for Child Protection e pela própria avaliação da Ofcom sobre a plataforma. A Ofcom está avaliando se o Telegram está cumprindo suas obrigações de segurança em relação a conteúdos ilegais, conforme estipulado pela Lei de Segurança Online do Reino Unido. Em resposta, o Telegram negou as acusações, afirmando que desde 2018 eliminou praticamente a disseminação pública de CSAM em sua plataforma. Além disso, a Ofcom também está investigando outros sites de bate-papo voltados para adolescentes e a plataforma X, em relação a conteúdos sexualmente explícitos não consensuais. Caso a Ofcom identifique falhas de conformidade, poderá impor multas de até £18 milhões ou 10% da receita mundial qualificada, além de solicitar ordens judiciais que podem resultar na proibição da plataforma no Reino Unido.

Um estudo recente revelou que grupos e canais no Telegram estão sendo utilizados por homens para vender ferramentas de hacking e espionagem com o objetivo de assediar mulheres. Pesquisadores do grupo AI Forensics analisaram 2,8 milhões de mensagens em 16 grupos italianos e espanhóis, identificando a troca de aproximadamente 82 mil conteúdos ilegais, incluindo imagens e vídeos de mulheres, muitas vezes sem o seu consentimento. As publicações variam desde ataques a celebridades até assédios a mulheres comuns, como amigas e esposas. Além disso, a pesquisa destacou a prática de doxing, onde informações pessoais são coletadas e utilizadas para intimidar as vítimas. O Telegram, por sua vez, afirmou que remove milhões de conteúdos nocivos diariamente, embora a eficácia dessas ações esteja sob questionamento, especialmente em meio a investigações sobre seu fundador na França. A situação levanta preocupações sobre a segurança digital e a proteção da privacidade das mulheres, além de implicações legais significativas, especialmente no contexto da Lei Geral de Proteção de Dados (LGPD) no Brasil.

O webinar “Do ruído ao sinal: O que os atores de ameaças estão mirando a seguir”, promovido pela BleepingComputer, abordará como equipes de segurança podem monitorar sinais de alerta precoce em comunidades underground e traduzi-los em defesas acionáveis. A apresentação, que contará com a participação de Tammy Harper, pesquisadora de inteligência de ameaças da RansomLook, examinará o uso de fóruns da dark web, canais do Telegram e marketplaces de corretores de acesso por parte de atores de ameaças para coordenar ataques e compartilhar vulnerabilidades. Esses sinais, embora frequentemente fragmentados e difíceis de interpretar, podem revelar intenções semanas antes de um ataque. A Flare Systems, uma empresa especializada em inteligência de ameaças, ajudará as organizações a detectar esses sinais iniciais, permitindo que as equipes de segurança adotem uma abordagem proativa em vez de reativa. Os participantes aprenderão a identificar sinais significativos na comunicação online, acompanhar as táticas dos adversários e transformar a inteligência em ações defensivas priorizadas. O evento é uma oportunidade valiosa para profissionais de segurança que desejam aprimorar suas estratégias de defesa.

O governo russo anunciou uma nova estratégia para restringir o uso de VPNs no país, com o objetivo de impedir que cidadãos contornem bloqueios estatais, especialmente em relação ao aplicativo de mensagens Telegram. O Ministro do Desenvolvimento Digital, Maksut Shadaev, afirmou que a meta é diminuir a utilização de VPNs, e que plataformas digitais deverão bloquear usuários identificados como utilizadores desses serviços. Além disso, o governo está considerando a implementação de uma taxa para usuários que excedam 15GB de dados internacionais por mês. Essa medida se insere em um contexto mais amplo de repressão digital na Rússia, onde mais de 400 serviços de VPN já foram restringidos, representando um aumento de 70% em relação ao ano anterior. A situação se agrava com a aprovação de uma lei que permite ao Serviço Federal de Segurança (FSB) ordenar o desligamento de comunicações de forma direcionada. Embora o uso de VPNs ainda não seja ilegal, as ações do governo indicam uma intensificação da repressão à liberdade digital no país.

O FBI dos EUA emitiu um alerta sobre hackers iranianos associados ao Ministério da Inteligência e Segurança do Irã, que estão utilizando o Telegram como infraestrutura de comando e controle em ataques de malware. Esses ataques visam jornalistas críticos ao governo iraniano, dissidentes e grupos opositores em todo o mundo. O FBI relacionou essas atividades ao grupo hacktivista Handala e ao grupo de ameaças Homeland Justice, ambos apoiados pelo estado iraniano. Os hackers empregam engenharia social para infectar dispositivos com malware para Windows, permitindo a exfiltração de capturas de tela e arquivos de computadores comprometidos. O alerta foi emitido em um contexto de tensão geopolítica no Oriente Médio e destaca a necessidade de conscientização sobre as atividades cibernéticas maliciosas iranianas. O FBI também confiscou quatro domínios utilizados por esses grupos para vazar documentos sensíveis. Além disso, o FBI advertiu sobre campanhas de phishing direcionadas a usuários do Signal e WhatsApp por atores ligados à inteligência russa, que já comprometeram milhares de contas. Essas ameaças ressaltam a crescente sofisticação dos ataques cibernéticos e a necessidade de vigilância contínua.

O aplicativo de mensagens Telegram tem se tornado um ponto central para atividades criminosas, com hackers utilizando a plataforma para vender acessos corporativos, dados roubados e serviços de malware. Pesquisadores da CYFIRMA identificaram um aumento na utilização do Telegram para operações ilegais, que antes eram realizadas principalmente em fóruns da dark web. Essa mudança se deve à facilidade de uso e à resistência da plataforma a desativações frequentes por parte das autoridades. Os grupos criminosos no Telegram operam como um ‘shopping center automatizado’, utilizando bots para encontrar senhas roubadas e processar pagamentos rapidamente. Além disso, o Telegram serve como um canal de suporte para esses criminosos, oferecendo ferramentas e recursos para facilitar suas atividades. Apesar de o Telegram ter colaborado com autoridades, atendendo a 900 solicitações de dados nos EUA, essa ação não tem sido suficiente para conter o crescimento desses grupos. A situação exige uma resposta mais robusta, já que a simples vigilância após incidentes não tem se mostrado eficaz para mitigar os danos causados por essas comunidades criminosas.

Recentes desenvolvimentos em cibersegurança revelam uma rápida evolução no cenário de ameaças. A equipe de resposta a emergências cibernéticas da Ucrânia (CERT-UA) alertou sobre uma campanha de phishing que visa instituições governamentais, utilizando e-mails maliciosos para disseminar malwares como SHADOWSNIFF e SALATSTEALER. Além disso, um novo serviço de malware como serviço (MaaS) chamado TrustConnect está sendo utilizado para distribuir um RAT (Remote Access Trojan) disfarçado de ferramenta legítima de gerenciamento remoto.

Um novo spyware, conhecido como ZeroDayRAT, está sendo comercializado no Telegram e visa dispositivos Android e iOS, permitindo que hackers tenham acesso remoto completo a câmeras, microfones e dados pessoais dos usuários. De acordo com a pesquisa da iVerify, o malware é capaz de gerenciar aparelhos comprometidos, coletando informações financeiras e espiando em tempo real. O spyware é descrito como um ‘kit de ferramentas completo’ que permite aos cibercriminosos monitorar as vítimas por meio de um painel de controle, que fornece dados sobre o modelo do dispositivo, versão do sistema operacional, status da bateria e localização geográfica. Além disso, o ZeroDayRAT pode ativar câmeras e microfones, registrar senhas e padrões de desbloqueio, e roubar informações de aplicativos financeiros, como Google Pay e Apple Pay. Especialistas alertam que a instalação de aplicativos fora das lojas oficiais aumenta o risco de infecção por esse tipo de malware.

Pavel Durov, CEO do Telegram, criticou fortemente as novas restrições impostas pelo governo russo ao aplicativo de mensagens, prometendo resistir à censura estatal. As medidas, anunciadas pela Roskomnadzor, visam garantir a conformidade com a legislação russa e proteger os cidadãos, mas Durov as considera uma tentativa autoritária de forçar os usuários a migrarem para um aplicativo controlado pelo estado, o MAX, que possui potencial de vigilância. O aumento das restrições levou a um crescimento significativo no uso de VPNs, com a AmneziaVPN relatando uma onda de novos usuários. Especialistas alertam que as ações do governo russo indicam um objetivo de desconectar o país da internet global, com investimentos em tecnologias de inspeção profunda de pacotes (DPI) para bloquear serviços internacionais. O uso de VPNs está se tornando mais difícil, e Durov comparou a situação atual à censura enfrentada no Irã, onde tentativas de bloqueio falharam em impedir o uso do Telegram. A situação destaca a luta contínua pela liberdade de expressão e privacidade na era digital.

O grupo de ameaças iraniano conhecido como Infy, também chamado de Príncipe da Pérsia, tem aprimorado suas táticas para ocultar suas atividades maliciosas. Após um apagão de internet imposto pelo governo iraniano em janeiro de 2026, o grupo interrompeu a manutenção de seus servidores de comando e controle (C2) pela primeira vez em anos. No entanto, a atividade foi retomada em 26 de janeiro, com a configuração de novos servidores C2, indicando que o grupo está se adaptando rapidamente às mudanças no ambiente digital. O Infy, ativo desde 2004, é um dos grupos patrocinados pelo estado iraniano que realiza operações de espionagem e sabotagem. Recentemente, foram identificadas novas versões de suas ferramentas de ataque, como Foudre e Tonnerre, que agora utilizam um bot do Telegram para comunicação. A análise revelou que o grupo também explorou uma vulnerabilidade no WinRAR para implantar seu malware. O uso de técnicas como a geração de nomes de domínio por meio de algoritmos DGA e a desofuscação de dados em blockchain demonstra a sofisticação das operações do Infy, que continua a ser uma ameaça significativa no cenário de cibersegurança.

Ataques digitais sofisticados estão colocando em risco a segurança de aplicativos de mensagens como WhatsApp e Telegram, utilizados por milhões de brasileiros. Esses ataques, conhecidos como ‘zero clique’, não requerem que o usuário clique em links suspeitos ou interaja com arquivos, explorando vulnerabilidades invisíveis nos aplicativos. Segundo Paulo Trindade, especialista em inteligência de ameaças, os invasores utilizam falhas de software para instalar códigos maliciosos que comprometem o dispositivo de forma silenciosa, muitas vezes apenas com o recebimento de um conteúdo malicioso. A identificação desses ataques é complexa, pois os sinais de comprometimento são sutis, podendo se manifestar como lentidão momentânea no aparelho. Para mitigar os riscos, Trindade recomenda práticas preventivas, como evitar grupos desconhecidos e manter os aplicativos atualizados, uma vez que as atualizações corrigem brechas de segurança. O artigo destaca a importância de estar ciente dessas ameaças, especialmente em um cenário onde a comunicação digital é essencial para a vida cotidiana.

O Tudou Guarantee Marketplace, um serviço de transações ilícitas no Telegram, anunciou o encerramento de suas operações, segundo informações da empresa de análise de blockchain Elliptic. Este marketplace se destacou por processar mais de US$ 12 bilhões em transações, tornando-se o terceiro mais lucrativo da história. Apesar do fechamento, algumas atividades, como jogos de azar, ainda permanecem na plataforma. O Tudou Guarantee surgiu como uma alternativa após ações do Telegram para fechar mercados ilegais em 2025, atraindo clientes de outros serviços. A plataforma oferecia uma variedade de produtos e serviços ilegais, incluindo dados pessoais roubados e softwares de deepfake. A decisão de encerrar as operações pode estar relacionada a uma ação policial contra o conglomerado cambojano Prince Group. Especialistas alertam que, apesar do fechamento, o combate a esses mercados ilegais ainda é um desafio, especialmente com a crescente sofisticação das fraudes. O fundador da Elliptic, Tom Robinson, destacou que o Telegram não tem tomado medidas efetivas contra esses mercados, o que complica ainda mais a situação.

Um mercado de garantias baseado no Telegram, conhecido como Tudou Guarantee, está encerrando suas operações, conforme revelado por uma pesquisa da empresa de inteligência em blockchain Elliptic. Estima-se que o Tudou tenha processado mais de US$ 12 bilhões em transações, tornando-se o terceiro maior mercado ilícito da história. Embora suas operações de jogo ainda estejam ativas, a interrupção das transações em grupos públicos sugere uma possível mudança ou fechamento total. O Tudou se destacou como um centro para a venda de dados pessoais roubados, serviços de lavagem de dinheiro e plataformas fraudulentas, atraindo vendedores que anteriormente utilizavam o HuiOne Guarantee, que também foi fechado. A recente prisão do CEO do Prince Group, Chen Zhi, por envolvimento em um esquema de fraude de investimento, pode ter acelerado o declínio do Tudou. A Elliptic observa que, apesar do fechamento, a atividade criminosa provavelmente se dispersará para outros mercados. Em resposta, o governo dos EUA criou a Scam Center Strike Force para combater redes criminosas transnacionais na região, já confiscando US$ 401 milhões em criptomoedas relacionadas a fraudes.

Um novo relatório da Elliptic revela que grupos de golpistas chineses, como Tudou Guarantee e Xinbi Guarantee, estão utilizando o Telegram para facilitar transações ilegais de criptomoedas, totalizando cerca de US$ 2 bilhões mensais. Esses grupos estão envolvidos em atividades como lavagem de dinheiro, venda de ferramentas para roubo de dados e criação de sites de investimento fraudulentos. Além disso, eles comercializam serviços de deepfake e estão associados a crimes graves, incluindo tráfico humano e prostituição de menores. O Telegram, apesar de ter tentado barrar essas operações, não está mais se movendo para banir esses grupos, alegando que a plataforma oferece uma alternativa para a liberdade financeira em meio ao controle de capital na China. Essa situação levanta preocupações significativas sobre a segurança cibernética, já que a Elliptic identificou mais de 30 mercados clandestinos ativos, destacando a gravidade do problema e a necessidade de vigilância contínua por parte das autoridades e empresas de segurança.

Criminosos digitais estão utilizando o Telegram como plataforma para disseminar aplicativos clonados que roubam dados de usuários de dispositivos Android. Especialistas do Group-IB identificaram uma campanha de phishing que se aproveita da confiança em aplicativos legítimos, como os disponíveis na Play Store. Os hackers criam versões falsas de aplicativos populares e, ao serem instalados, esses aplicativos maliciosos atuam como droppers, implantando um payload agressivo sem necessidade de conexão com a internet. A infecção ocorre através do sequestro de SMS, utilizando um malware chamado Wonderland, que permite a execução de comandos maliciosos em tempo real. Até o momento, a campanha foi observada principalmente no Uzbequistão, mas a técnica pode ser facilmente replicada em outros locais. O malware intercepta senhas de uso único e informações sensíveis, como credenciais bancárias, e se propaga entre os contatos da vítima. Para que o malware funcione, o usuário deve permitir a instalação de fontes desconhecidas, o que facilita o sequestro do número de celular e a continuidade da infecção. A estratégia dos hackers é criar uma aparência de legitimidade para enganar as vítimas e burlar verificações de segurança.

O grupo de hacktivistas pró-Rússia, conhecido como CyberVolk, lançou um ransomware chamado VolkLocker, que opera exclusivamente pelo Telegram. Este modelo de ransomware como serviço (RaaS) foi projetado para facilitar a venda de códigos maliciosos, permitindo que até mesmo usuários sem conhecimentos técnicos possam utilizá-lo. No entanto, uma falha crítica foi descoberta: as chaves mestras de criptografia estão incluídas nos arquivos executáveis, permitindo que as vítimas recuperem seus dados sem pagar o resgate. O especialista Jim Walter, da SentinelOne, destacou que essa contradição revela dificuldades na operação do grupo, que, apesar de sua automação sofisticada, cometeu um erro ao deixar as chaves acessíveis. O ransomware utiliza escalonamento de privilégios para obter controle total das máquinas infectadas, mas a falta de geração dinâmica das chaves pode ser uma vantagem para as vítimas. Apesar dessa falha, o CyberVolk continua a ser uma ameaça significativa, com recursos adicionais como keyloggers e trojans de acesso remoto. A situação exige atenção, pois o ransomware pode impactar usuários desavisados e organizações em geral.

O grupo hacktivista pro-Rússia conhecido como CyberVolk, também chamado de GLORIAMIST, voltou a atuar com uma nova oferta de ransomware como serviço (RaaS) chamada VolkLocker. Lançado em agosto de 2025, o VolkLocker é capaz de atacar sistemas Windows e Linux, utilizando a linguagem de programação Golang. Apesar de suas características típicas de ransomware, como a modificação do Registro do Windows e a exclusão de cópias de sombra, uma análise revelou uma falha crítica: as chaves mestres do ransomware estão codificadas nos binários e são armazenadas em um arquivo de texto simples na pasta %TEMP%, permitindo que as vítimas recuperem seus arquivos sem pagar o resgate. O ransomware utiliza criptografia AES-256 em modo Galois/Counter (GCM) e impõe um timer que apaga pastas do usuário se o pagamento não for realizado em 48 horas ou se a chave de descriptografia for inserida incorretamente três vezes. O CyberVolk também oferece um trojan de acesso remoto e um keylogger, ampliando sua estratégia de monetização. A operação é gerenciada via Telegram, com preços variando de $800 a $2,200, dependendo do sistema operacional. Apesar das tentativas de banimento de contas no Telegram, o grupo conseguiu restabelecer suas operações, refletindo uma tendência crescente entre grupos de ameaças politicamente motivadas.

Um novo trojan bancário, denominado Sturnus, está afetando dispositivos Android, permitindo que hackers roubem credenciais sensíveis e realizem fraudes financeiras. Especialistas da ThreatFabric identificaram que o malware não apenas compromete dados bancários, mas também assume o controle total do dispositivo, monitorando conversas em aplicativos de mensagens como WhatsApp e Telegram. O Sturnus se disfarça como aplicativos legítimos, como Google Chrome, e, uma vez instalado, estabelece um canal HTTPS criptografado para exfiltração de dados em tempo real. O malware utiliza serviços de acessibilidade do Android para capturar informações da tela, como botões pressionados e textos digitados, e realiza transferências bancárias sem o conhecimento do usuário. Embora ainda esteja em fase de desenvolvimento, o Sturnus já é considerado funcional e representa uma ameaça significativa, especialmente para instituições financeiras na Europa. A recomendação para usuários de Android é evitar a instalação de arquivos APK fora de lojas oficiais, a fim de mitigar riscos de infecção.

Um novo relatório da Cyble Research and Intelligence Labs (CRIL) revela uma campanha de phishing em larga escala que utiliza arquivos HTML com JavaScript embutido para roubar credenciais de usuários. Ao invés de redirecionar as vítimas para URLs maliciosas, os hackers enviam e-mails com anexos que imitam páginas de login da Adobe e Microsoft. Esses arquivos, que aparentam ser comunicações comerciais legítimas, como solicitações de cotações, contêm um prompt central para login que coleta informações de acesso e as envia para bots controlados pelos atacantes via Telegram.

O Irã continua a manter a proibição do Telegram, que já dura sete anos, e um legislador iraniano atribui essa situação à chamada ‘máfia das VPNs’. O secretário da Comissão de Indústrias e Minas do parlamento, Mostafa Pourdehghan, afirmou que o lobby em favor da venda de VPNs, que movimenta cerca de 50 trilhões de tomans (aproximadamente 450 milhões de dólares), está impedindo a liberação do aplicativo. Desde 2018, os cidadãos iranianos têm acesso ao Telegram apenas por meio de VPNs, devido a restrições impostas em nome da segurança nacional. Apesar de o governo estar em conversações para potencialmente desbloquear o serviço, as condições impostas incluem a limitação de conteúdo considerado provocativo e a colaboração com a justiça iraniana em solicitações de dados. Essas exigências, segundo Pourdehghan, estão em desacordo com os princípios de liberdade de expressão defendidos pelo fundador do Telegram, Pavel Durov. A crescente utilização de VPNs no Irã, que atinge cerca de 90% da população, reflete a repressão à liberdade de acesso à internet, com a maioria das plataformas de redes sociais ainda bloqueadas no país. A situação levanta preocupações sobre a liberdade digital e os direitos dos cidadãos no Irã.

Um novo consórcio de cibercriminosos, denominado Scattered LAPSUS$ Hunters (SLH), surgiu a partir da fusão de três grupos notórios: Scattered Spider, ShinyHunters e LAPSUS$. De acordo com a equipe de inteligência de ameaças da Trustwave SpiderLabs, o SLH é descrito como uma “aliança federada” que oferece Extorsão como Serviço (EaaS), herdando características operacionais do ecossistema cibercriminoso conhecido como The Com. O grupo utiliza o Telegram como plataforma de coordenação e identidade pública, mesclando motivação financeira com um estilo hacktivista. Desde sua primeira aparição em agosto de 2025, o SLH tem demonstrado uma notável capacidade de adaptação, reestabelecendo sua presença mesmo após frequentes desmantelamentos. O grupo promove seu modelo EaaS, convidando afiliados a “alugar” sua marca para campanhas de extorsão. Além disso, o SLH está desenvolvendo um ransomware chamado “Sh1nySp1d3r”. As táticas do grupo incluem engenharia social avançada e exploração de vulnerabilidades, como CVE-2025-31324 e CVE-2025-61882, indicando uma possível colaboração com outros operadores de ransomware. A análise sugere que o SLH representa uma reestruturação estratégica de operadores veteranos, sinalizando um novo modelo de ciberextorsão para 2026.

Um novo coletivo cibercriminoso, formado por grupos como Scattered Spider, LAPSUS$ e ShinyHunters, tem se destacado por sua atividade no Telegram, onde já criou 16 canais desde agosto de 2025. O grupo, denominado Scattered LAPSUS$ Hunters (SLH), tem se envolvido em ataques de extorsão de dados, visando empresas que utilizam plataformas como Salesforce. O SLH oferece um serviço de extorsão como serviço (EaaS), permitindo que afiliados se unam para exigir pagamentos em troca do uso de sua marca. Além disso, o grupo tem se posicionado como uma entidade organizada, utilizando uma estrutura administrativa que confere legitimidade a suas operações. As atividades incluem campanhas de pressão contra executivos de alto escalão e a promoção de uma nova família de ransomware chamada Sh1nySp1d3r, que pode rivalizar com grupos estabelecidos como LockBit. A análise da Trustwave sugere que o SLH combina motivações financeiras com elementos de hacktivismo, utilizando técnicas de engenharia social e desenvolvimento de exploits para realizar suas operações. O uso do Telegram como plataforma central para coordenação e visibilidade reflete uma estratégia de comunicação eficaz entre os membros do grupo.

O malware Baohuo, que se disfarça como versões falsas do Telegram X, já infectou mais de 58 mil dispositivos globalmente, com 12 mil vítimas no Brasil, representando 20,5% do total. A ameaça, identificada pela empresa de segurança Doctor Web, não se limita a smartphones, afetando também tablets e sistemas de infotenimento. Os criminosos utilizam sites fraudulentos em português que imitam lojas de aplicativos, atraindo usuários com promessas de recursos aprimorados. O Baohuo opera de forma discreta, permitindo que os cibercriminosos tenham controle total sobre as contas do Telegram das vítimas sem que elas percebam. O malware se destaca por sua sofisticação, utilizando técnicas como backdoors e um sistema de comando e controle baseado em Redis, que permite a exfiltração de dados e controle remoto das funcionalidades do aplicativo. A campanha começou em meados de 2024 e continua ativa, com cerca de 20 mil conexões de dispositivos infectados. A escolha do Brasil como alvo prioritário se deve à alta penetração do Telegram e à vulnerabilidade dos usuários a golpes.

Cibercriminosos estão utilizando alegações de direitos autorais falsas, potencializadas por ferramentas de inteligência artificial, para disseminar malware em plataformas online. De acordo com uma pesquisa da Cofense Intelligence, atacantes têm enviado mensagens que imitam solicitações legítimas de remoção de conteúdo, visando pressionar as vítimas a clicarem em links que, em vez de resolver problemas de copyright, levam ao download de malware. Um ator de ameaça vietnamita, conhecido como Lone None, tem se destacado nessa prática, utilizando traduções automáticas para alcançar um público mais amplo. Os operadores embutem informações de carga maliciosa em perfis de bots do Telegram, direcionando as vítimas a arquivos hospedados em plataformas gratuitas, onde aplicativos legítimos são disfarçados junto a arquivos maliciosos. O malware, que inclui um novo tipo chamado Lone None Stealer, é projetado para roubar informações, especialmente relacionadas a criptomoedas, ao substituir endereços de carteiras por aqueles controlados pelos atacantes. Embora as campanhas atuais se concentrem em roubo de informações, a flexibilidade da infraestrutura pode permitir a entrega de ransomware em futuras iterações. A detecção pode ser facilitada por indicadores técnicos, mas a melhor defesa continua sendo a conscientização e treinamento dos usuários.

Pesquisadores de cibersegurança descobriram um módulo Go malicioso que se apresenta como uma ferramenta de brute-force para SSH, mas na verdade exfiltra credenciais para um bot do Telegram controlado pelo criador do malware. Nomeado ‘golang-random-ip-ssh-bruteforce’, o pacote foi publicado em 24 de junho de 2022 e está vinculado a uma conta do GitHub que foi removida, mas ainda está disponível em pkg.go.dev. O módulo escaneia endereços IPv4 aleatórios em busca de serviços SSH expostos na porta TCP 22, tentando logins com uma lista de nomes de usuário e senhas fracas. Após um login bem-sucedido, as credenciais são enviadas para um bot do Telegram. O malware desabilita a verificação de chave do host, permitindo conexões inseguras. A lista de senhas inclui combinações comuns como ‘root’, ‘admin’ e ‘12345678’. O código malicioso opera em um loop infinito, gerando endereços IPv4 e tentando logins simultâneos. O tráfego gerado parece normal, dificultando a detecção por controles de saída. Este incidente destaca a necessidade de vigilância e proteção contra ameaças emergentes na segurança da cadeia de suprimentos de software.

Um novo ataque cibernético sofisticado foi descoberto, visando profissionais de segurança através de um pacote Go malicioso chamado golang-random-ip-ssh-bruteforce. Este pacote, que se disfarça como uma ferramenta legítima de teste de força bruta SSH, exfiltra secretamente credenciais de login bem-sucedidas para um ator de ameaça de língua russa via Telegram. O funcionamento do pacote envolve um loop infinito que gera endereços IPv4 aleatórios e verifica o acesso ao serviço SSH na porta TCP 22. Ao encontrar um servidor SSH acessível, ele tenta autenticações usando uma lista de senhas padrão, desabilitando a verificação de chaves de host, o que permite conexões inseguras. As credenciais roubadas são enviadas para um bot do Telegram, transformando os usuários em coletadores involuntários de dados para operações cibernéticas criminosas. O pacote foi publicado em junho de 2022 por um usuário do GitHub identificado como IllDieAnyway, que é avaliado como um ator de ameaça de língua russa. A recomendação é tratar todas as ferramentas ofensivas de fontes não confiáveis como hostis e implementar controles rigorosos para APIs de mensagens.

Um novo tipo de fraude conhecido como “ghost tapping” está se espalhando rapidamente, especialmente no Sudeste Asiático, desde 2020. Essa prática envolve o uso de dados de cartões de pagamento roubados, frequentemente obtidos por meio de phishing e engenharia social, que são carregados em celulares descartáveis, conhecidos como “burner phones”. Os criminosos conseguem contornar a segurança interceptando senhas de uso único enviadas às vítimas e, em seguida, utilizam esses dados para realizar compras em lojas ou retirar dinheiro de caixas eletrônicos. As mercadorias adquiridas, como joias e eletrônicos, são rapidamente revendidas em canais clandestinos, como o Telegram. Apesar das ações policiais, as redes de fraude se adaptaram, migrando para plataformas alternativas que continuam a facilitar essas transações fraudulentas. A falta de verificações rigorosas de identidade em muitos estabelecimentos torna a detecção de fraudes no ponto de venda extremamente difícil. Em Cingapura, por exemplo, a polícia registrou centenas de incidentes relacionados a dados de cartões de pagamento, resultando em perdas significativas. A situação exige que bancos, varejistas e provedores de pagamento adotem medidas mais robustas de segurança e autenticação para proteger os consumidores e mitigar os riscos associados a essa nova onda de fraudes.