Trend Micro

Uma análise da Trend Micro revelou a evolução da campanha maliciosa Water Saci, que utiliza o malware SORVEPOTEL para se propagar através do WhatsApp Web, especialmente entre usuários brasileiros. Os hackers mudaram suas táticas, substituindo o código PowerShell por Python, o que aumentou a compatibilidade com navegadores e a eficiência na automação do ataque. A campanha se baseia em engenharia social, induzindo os usuários a interagir com conteúdos maliciosos, como arquivos ZIP e PDF, além de mensagens fraudulentas que simulam atualizações do Adobe Acrobat.

Pesquisadores da Trend Micro identificaram duas vulnerabilidades graves no 7-Zip, um popular aplicativo de compactação de arquivos. As falhas, conhecidas como CVE-2025-11001 e CVE-2025-11002, permitem que cibercriminosos obtenham controle remoto do computador da vítima ao explorar um problema no sistema de análise de links simbólicos em arquivos ZIP. Embora o desenvolvedor Igor Pavlov tenha lançado um patch em julho para corrigir as falhas, o 7-Zip não possui um sistema de atualização automática, o que significa que os usuários precisam atualizar manualmente o software. Isso deixou muitos usuários expostos a ataques por meses, sem saber da necessidade de atualização. A versão corrigida é a 25.00, lançada em 5 de julho, seguida pela versão 25.01 em agosto. Os especialistas recomendam que os usuários baixem a nova versão imediatamente e evitem abrir arquivos ZIP de fontes não confiáveis, especialmente em ambientes corporativos, onde a atualização manual pode escapar de sistemas de gerenciamento de patches.

Um novo malware autônomo, denominado SORVEPOTEL, está atacando usuários brasileiros através do WhatsApp, conforme relatado pela Trend Micro. Este malware se propaga rapidamente entre sistemas Windows, utilizando mensagens de phishing convincentes que contêm anexos ZIP maliciosos. Os pesquisadores observaram que a maioria das infecções ocorreu em setores como governo, serviços públicos, tecnologia e educação, com 457 dos 477 casos registrados no Brasil. O ataque começa com uma mensagem de phishing enviada de um contato comprometido, que inclui um arquivo ZIP disfarçado de recibo ou arquivo relacionado a aplicativos de saúde. Ao abrir o anexo, o usuário é levado a executar um arquivo de atalho do Windows que ativa um script PowerShell, baixando o payload principal de um servidor externo. O malware, uma vez instalado, se propaga automaticamente através do WhatsApp Web, enviando o arquivo ZIP para todos os contatos do usuário infectado, resultando em um grande volume de mensagens de spam e, frequentemente, na suspensão das contas. Embora o SORVEPOTEL não tenha mostrado interesse em roubo de dados ou ransomware, sua capacidade de se espalhar rapidamente representa uma ameaça significativa para empresas e usuários no Brasil.

Um estudo da Trend Micro revelou que malwares estão se disfarçando como ferramentas de inteligência artificial para infectar empresas em diversas regiões do mundo, incluindo Brasil, Estados Unidos, França e Índia. O malware mais destacado na pesquisa é o EvilAI, que imita softwares legítimos, dificultando a detecção por parte dos usuários. Os alvos principais incluem indústrias, agências governamentais e setores de saúde e tecnologia. Os hackers utilizam certificados válidos de empresas descartáveis para aumentar a credibilidade dos programas maliciosos. Uma vez instalados, esses malwares conseguem extrair dados sensíveis dos navegadores das vítimas e enviá-los para servidores controlados pelos criminosos. A distribuição ocorre por meio de anúncios falsos, sites de venda fraudulentos e manipulação de SEO. A situação é alarmante, pois a popularidade das ferramentas de IA está sendo explorada para enganar usuários, e a criação de mercados de malware na dark web facilita ainda mais esses ataques. Especialistas alertam que a tendência pode se intensificar, exigindo atenção redobrada das empresas em relação à segurança cibernética.

A Trend Micro identificou uma nova variante do ransomware LockBit, chamada LockBit 5.0, que se mostra significativamente mais perigosa do que suas versões anteriores. Lançado em setembro de 2025, o LockBit 5.0 apresenta uma interface aprimorada e capacidades furtivas inovadoras, além de uma encriptação mais rápida. Os pesquisadores observaram que o ransomware agora possui versões para Windows, Linux e ESXi, o que representa uma escalada crítica nas suas capacidades, especialmente na virtualização VMWare. O novo vírus permite que os atacantes escolham quais pastas encriptar ou ignorar e oferece modos de operação como “invisível” e “verbal”. Além disso, o LockBit 5.0 utiliza técnicas de evasão, como a substituição de APIs, dificultando a detecção pelo Windows. O grupo responsável pelo ransomware também implementou um sistema de suporte via chat para negociação de resgates, complicando ainda mais a recuperação dos dados para as vítimas. A nova versão mantém a geolocalização para evitar ataques em regiões onde a língua russa é detectada, o que demonstra uma evolução nas táticas do grupo criminoso. Com a continuidade das operações do LockBit, mesmo após ações de autoridades em 2024, a ameaça se torna cada vez mais relevante para empresas em todo o mundo, incluindo o Brasil.

Desde janeiro de 2025, a Trend Micro identificou um aumento significativo em campanhas de phishing que utilizam plataformas de desenvolvimento impulsionadas por IA, como Lovable.app, Netlify.app e Vercel.app, para hospedar páginas falsas de CAPTCHA. Os atacantes aproveitam os níveis gratuitos de hospedagem e a credibilidade dessas plataformas para criar armadilhas sofisticadas que conseguem evitar a detecção de scanners automáticos. Os e-mails de phishing frequentemente apresentam temas urgentes, como ‘Redefinição de Senha Necessária’ ou ‘Notificação de Mudança de Endereço do USPS’. Ao clicar nos links, os usuários são levados a uma interface de CAPTCHA que parece legítima, mas que, na verdade, redireciona silenciosamente para sites que coletam credenciais, como Microsoft 365 e Google Workspace. A Trend Micro observou que a atividade aumentou entre fevereiro e abril, coincidindo com a adoção crescente do trabalho remoto, e novamente em agosto. Para combater essas táticas, as organizações devem implementar medidas de segurança avançadas e treinar os funcionários para reconhecer sinais de phishing, especialmente em relação a prompts de CAPTCHA. A combinação de controles técnicos e vigilância informada dos usuários é essencial para mitigar esses riscos.

Uma campanha de espionagem cibernética, identificada como TAOTH, foi revelada por pesquisadores da Trend Micro, destacando o uso de um servidor de atualização abandonado do software Sogou Zhuyin para disseminar diversas famílias de malware, como C6DOOR e GTELAM. Os alvos principais incluem dissidentes, jornalistas e líderes de tecnologia na China, Taiwan, Hong Kong, Japão e Coreia do Sul. Os atacantes se apropriaram de um domínio que não recebia atualizações desde 2019, utilizando-o para distribuir atualizações maliciosas a partir de outubro de 2024. A cadeia de infecção começa quando usuários baixam o instalador legítimo do Sogou Zhuyin, que, após a instalação, busca atualizações maliciosas. As famílias de malware implantadas têm funções variadas, como acesso remoto e roubo de informações, utilizando serviços de nuvem para ocultar suas atividades. A Trend Micro recomenda que organizações realizem auditorias regulares em seus ambientes e revisem as permissões de aplicativos em nuvem para mitigar esses riscos.

A CISA (Agência de Segurança Cibernética e Infraestrutura dos EUA) emitiu um alerta sobre uma vulnerabilidade crítica no Trend Micro Apex One Management Console, identificada como CVE-2025-54948. Essa falha de injeção de comandos do sistema operacional permite que atacantes remotos, com credenciais de autenticação prévia, executem comandos arbitrários em sistemas vulneráveis. A vulnerabilidade foi adicionada ao catálogo de Vulnerabilidades Conhecidas (KEV) em 18 de agosto de 2025, e as organizações têm até 8 de setembro de 2025 para implementar as mitig ações recomendadas. A falha, classificada como CWE-78, pode ser explorada por usuários com acesso legítimo, permitindo movimentos laterais e escalonamento de privilégios dentro de redes comprometidas. Embora não haja confirmação de uso em campanhas de ransomware, a inclusão no KEV indica exploração ativa. As empresas que utilizam o Apex One enfrentam riscos imediatos, pois a exploração dessa vulnerabilidade pode comprometer a infraestrutura de segurança e desativar mecanismos de proteção de endpoints. A CISA recomenda que as equipes de segurança priorizem esforços de correção e implementem segmentação de rede para limitar movimentos laterais.

Um novo grupo de ransomware, chamado Crypto24, tem se destacado por sua habilidade em contornar soluções antivírus e sistemas de detecção de endpoint (EDR). De acordo com um relatório da Trend Micro, o Crypto24 utiliza ferramentas administrativas legítimas e malwares personalizados para realizar ataques direcionados a grandes organizações, especialmente nos setores financeiro, manufatura, entretenimento e tecnologia. O ataque começa com a infiltração nos sistemas-alvo, onde os atacantes criam contas administrativas e utilizam comandos nativos do Windows para estabelecer pontos de entrada persistentes. Uma das características mais preocupantes do Crypto24 é sua capacidade de ‘cegar’ soluções de segurança, utilizando uma versão modificada da ferramenta RealBlindingEDR para desativar mecanismos de detecção de quase 30 fornecedores de segurança. O grupo não apenas criptografa dados, mas também exfiltra informações críticas, utilizando um keylogger disfarçado para capturar dados sensíveis. A exfiltração é realizada através do Google Drive, o que reduz a suspeita. Para se proteger, as organizações devem adotar o princípio de privilégio mínimo, monitorar o uso de ferramentas de acesso remoto e implementar detecções comportamentais.