Trojan

Pesquisadores de cibersegurança revelaram detalhes sobre um novo trojan de acesso remoto para Android, chamado Fantasy Hub, que está sendo comercializado em canais de Telegram de língua russa sob um modelo de Malware-as-a-Service (MaaS). O malware permite controle total do dispositivo e espionagem, coletando mensagens SMS, contatos, registros de chamadas, imagens e vídeos, além de interceptar e manipular notificações. O Fantasy Hub é projetado para facilitar a vida de atacantes iniciantes, oferecendo documentação e um modelo de assinatura gerido por bot. O preço varia de $200 por semana a $4,500 por ano. O trojan se disfarça como uma atualização do Google Play e abusa de permissões padrão de SMS para obter acesso a dados sensíveis. A ameaça é particularmente preocupante para empresas que adotam o modelo BYOD (Bring Your Own Device) e para usuários de aplicativos bancários. A Zscaler revelou um aumento de 67% nas transações de malware Android, destacando a crescente sofisticação de trojans bancários e spyware. O Fantasy Hub representa uma nova geração de malware que combina técnicas de engenharia social com funcionalidades avançadas, como streaming em tempo real de câmera e microfone.

Pesquisadores de cibersegurança identificaram uma nova extensão maliciosa no registro Open VSX, que contém um trojan de acesso remoto chamado SleepyDuck. A extensão, denominada juan-bianco.solidity-vlang (versão 0.0.7), foi publicada em 31 de outubro de 2025, inicialmente como uma biblioteca inofensiva, mas foi atualizada para a versão 0.0.8 em 1º de novembro, após atingir 14.000 downloads. O malware utiliza técnicas de evasão de sandbox e um contrato Ethereum para atualizar seu endereço de comando e controle caso o original seja desativado. O ataque é ativado ao abrir uma nova janela de editor de código ou selecionar um arquivo .sol, permitindo que o malware colete informações do sistema e as exfiltre para um servidor remoto. Além disso, a extensão pode se reconfigurar para contornar a detecção e executar comandos de emergência. Este incidente se junta a uma série de campanhas que visam desenvolvedores de Solidity, destacando a necessidade de cautela ao baixar extensões. A Microsoft anunciou que está implementando varreduras periódicas no marketplace para proteger os usuários contra malware.

Pesquisadores de cibersegurança identificaram dois novos trojans para Android, BankBot-YNRK e DeliveryRAT, que têm a capacidade de coletar dados sensíveis de dispositivos comprometidos. O BankBot-YNRK, por exemplo, evita a detecção ao verificar se está sendo executado em um ambiente virtualizado e coleta informações sobre o dispositivo, como fabricante e modelo. Ele se disfarça como um aplicativo governamental indonésio, ‘Identitas Kependudukan Digital’, e, uma vez instalado, silencia notificações para não alertar a vítima sobre atividades suspeitas. O malware é projetado para operar em dispositivos Android 13 e anteriores, já que a versão 14 introduziu novas proteções contra o uso indevido de serviços de acessibilidade. Por outro lado, o DeliveryRAT, que tem sido distribuído sob a forma de serviços de entrega, coleta dados de SMS e registros de chamadas, além de ocultar seu ícone para dificultar a remoção. Ambos os trojans representam uma ameaça significativa, especialmente para usuários de dispositivos Android no Brasil, onde a segurança de dados financeiros é uma preocupação crescente.

Pesquisadores de cibersegurança revelaram detalhes sobre um novo trojan bancário para Android chamado Herodotus, que está em campanhas ativas visando usuários na Itália e no Brasil. O malware, que foi anunciado em fóruns underground em setembro de 2025, é projetado para realizar ataques de tomada de controle de dispositivos (DTO) e se destaca por tentar imitar o comportamento humano para evitar a detecção por biometria comportamental. Herodotus é distribuído por aplicativos disfarçados, como uma versão falsa do Google Chrome, e utiliza serviços de acessibilidade para interagir com a tela do dispositivo, exibir telas de login falsas e roubar credenciais. Além disso, o trojan pode interceptar códigos de autenticação de dois fatores (2FA) e instalar arquivos APK remotamente. Uma característica inovadora do Herodotus é a introdução de atrasos aleatórios nas ações remotas, o que simula a digitação humana e dificulta a detecção por soluções antifraude. O malware está em desenvolvimento ativo e já mira organizações financeiras em diversos países, incluindo os EUA e o Reino Unido, ampliando seu alcance. A ameaça representa um risco significativo para usuários de dispositivos Android, especialmente em um contexto onde a segurança financeira é crítica.

Pesquisadores de cibersegurança revelaram uma campanha de spear-phishing chamada PhantomCaptcha, que visa organizações envolvidas em esforços de ajuda à Ucrânia. O ataque, ocorrido em 8 de outubro de 2025, afetou membros da Cruz Vermelha Internacional, do Conselho Norueguês para Refugiados, da UNICEF e administrações regionais ucranianas. Os e-mails de phishing se disfarçaram como comunicações do Escritório do Presidente da Ucrânia, contendo um PDF malicioso que redirecionava as vítimas para um site falso do Zoom. Ao clicar, os usuários eram induzidos a executar um comando PowerShell malicioso através de uma página falsa de verificação de navegador. O malware resultante, um trojan de acesso remoto (RAT) baseado em WebSocket, permite a execução de comandos remotos e exfiltração de dados. A infraestrutura do ataque foi registrada em março de 2025, demonstrando planejamento sofisticado. Embora não tenha sido atribuído a um grupo específico, a técnica utilizada tem semelhanças com ataques de grupos de hackers associados à Rússia. A campanha destaca a necessidade de vigilância contínua e medidas de segurança robustas para organizações que operam em contextos de crise.

Em meados de outubro de 2025, o site oficial do Xubuntu foi comprometido por atacantes que alteraram os links de download de torrents. Em vez de fornecer os arquivos .torrent legítimos, os visitantes foram direcionados para um arquivo ZIP malicioso intitulado ‘Xubuntu-Safe-Download.zip’. Dentro deste arquivo, encontrava-se um executável do Windows, ‘TestCompany.SafeDownloader.exe’, acompanhado de um arquivo ’tos.txt’ que continha uma falsa declaração de direitos autorais de 2026. O ataque, descoberto em 18 de outubro, destaca os riscos crescentes enfrentados por sites de distribuições Linux mantidos pela comunidade, especialmente com a migração de usuários do Windows 10, que chegou ao fim do suporte. O malware, projetado para roubar criptomoedas, foi identificado por membros das comunidades r/xubuntu e r/Ubuntu, que alertaram sobre a anomalia. Após a confirmação do ataque, os mantenedores do Xubuntu desativaram rapidamente a página comprometida e recomendaram que os usuários verificassem as somas de verificação dos arquivos ISO. Até o momento, não foram relatadas infecções confirmadas ou perdas de criptomoedas, mas o incidente serve como um lembrete da importância de práticas rigorosas de segurança em projetos de código aberto.

Pesquisadores da empresa de segurança cibernética Solo Iron, no Brasil, desmontaram uma campanha de malware conhecida como Maverick, que se espalha pelo WhatsApp Web. O vírus, que opera como um trojan, infecta computadores e rouba dados bancários. A investigação revelou que a operação dos hackers começou em 1º de outubro e utilizava técnicas de engenharia social para disseminar arquivos maliciosos disfarçados de documentos financeiros. O malware, que funciona na memória da máquina, evita a detecção por antivírus tradicionais ao não gravar arquivos em disco. A equipe da Solo Iron conseguiu acessar a infraestrutura dos cibercriminosos, revelando a escala da operação e os domínios envolvidos. O ataque é caracterizado por um alto nível de automação e permite que os criminosos monitorem a disseminação do trojan através de um painel administrativo. A análise detalhada do malware e suas implicações estão disponíveis no blog da Solo Iron.

O novo trojan bancário chamado Maverick está atacando usuários brasileiros, infectando computadores através de arquivos de atalho do Windows e se espalhando pelo WhatsApp Web. A Kaspersky, que identificou a ameaça, bloqueou mais de 62 mil tentativas de ataque apenas em outubro de 2025. O vírus verifica se a vítima está no Brasil, utilizando informações como fuso horário e idioma do sistema, antes de prosseguir com a infecção. Uma vez instalado, o Maverick tem a capacidade de monitorar o que o usuário digita, tirar capturas de tela e acessar informações de 26 bancos e 6 corretoras de criptomoedas. A infecção ocorre na memória do computador, dificultando a detecção por ferramentas de segurança. O trojan utiliza criptografia AES-256 para ocultar suas operações, indicando uma possível continuidade de campanhas maliciosas anteriores. Para se proteger, recomenda-se desconfiar de arquivos recebidos pelo WhatsApp, evitar clicar em arquivos de atalho de fontes não confiáveis e utilizar aplicativos de segurança.

Uma nova campanha de malware em larga escala foi identificada no Brasil, envolvendo um Trojan bancário chamado Maverick, que se espalha através do WhatsApp. O ataque utiliza arquivos LNK maliciosos enviados em arquivos ZIP, contornando as restrições da plataforma de mensagens. Ao abrir o arquivo, o Trojan executa um comando PowerShell que baixa cargas adicionais de um servidor de comando e controle (C2), utilizando um canal de comunicação que valida rigorosamente o acesso. O Maverick se destaca por sua capacidade de se propagar rapidamente entre contatos do WhatsApp, enviando mensagens de spam com novos arquivos maliciosos. Além disso, o malware monitora navegadores e visa 26 portais bancários brasileiros, além de exchanges de criptomoedas. O componente principal, chamado Maverick Agent, permite que os atacantes tenham controle total do sistema da vítima, incluindo captura de tela e registro de teclas. Nos primeiros dez dias de outubro, mais de 62.000 tentativas de infecção foram bloqueadas, evidenciando a gravidade da ameaça, que é direcionada a usuários brasileiros, utilizando verificação de idioma e fuso horário.

Pesquisadores de cibersegurança revelaram uma campanha ativa de malware chamada Stealit, que utiliza a funcionalidade Single Executable Application (SEA) do Node.js para distribuir seus payloads. De acordo com o Fortinet FortiGuard Labs, o malware é propagado por meio de instaladores falsos de jogos e aplicativos de VPN, frequentemente carregados em sites de compartilhamento de arquivos como Mediafire e Discord. A SEA permite que aplicações Node.js sejam empacotadas como executáveis independentes, facilitando a execução em sistemas sem o Node.js instalado.

Um novo ataque de phishing está disseminando o trojan de acesso remoto XWorm, conforme análise da Forcepoint X-Labs. Os e-mails maliciosos, enviados em espanhol com o assunto ‘Facturas pendientes de pago’, contêm anexos com a extensão .xlam. Ao serem abertos, esses arquivos podem parecer vazios, mas já iniciam a infecção no computador da vítima. O XWorm utiliza um dropper chamado oleObject1.bin, que baixa um executável malicioso (UXO.exe) de um servidor específico. Este executável instala uma DLL (DriverFixPro.dll) que opera diretamente na memória, evitando a detecção por antivírus. Desde janeiro, cerca de 18.459 dispositivos foram comprometidos, com o malware roubando senhas e tokens de contas, incluindo do Discord. Para se proteger, é essencial estar atento a anexos suspeitos e manter sistemas e aplicativos de segurança atualizados.

O Zloader, também conhecido como Terdot, DELoader ou Silent Night, ressurgiu como um sofisticado trojan de acesso inicial, fornecendo aos operadores de ransomware uma forma discreta de invadir redes corporativas após quase dois anos de inatividade. Originado do código do trojan bancário Zeus em 2015, as novas versões 2.11.6.0 e 2.13.7.0 apresentam camadas de ofuscação aprimoradas e medidas anti-análise robustas, além de protocolos de rede refinados para evitar sistemas de detecção modernos.

Pesquisadores em cibersegurança descobriram um novo loader de malware chamado CountLoader, utilizado por gangues de ransomware russas para entregar ferramentas de pós-exploração, como Cobalt Strike e AdaptixC2, além de um trojan de acesso remoto conhecido como PureHVNC RAT. O CountLoader aparece em três versões: .NET, PowerShell e JavaScript, e tem sido empregado em campanhas de phishing direcionadas a indivíduos na Ucrânia, utilizando iscas em PDF que se passam pela Polícia Nacional da Ucrânia. A versão em PowerShell já havia sido identificada anteriormente pela Kaspersky, que a associou a iscas relacionadas ao DeepSeek. O malware é capaz de reconfigurar instâncias de navegação para forçar o tráfego através de um proxy controlado pelos atacantes, permitindo a manipulação de dados. A versão JavaScript é a mais robusta, oferecendo múltiplos métodos para download de arquivos e execução de binários maliciosos. CountLoader utiliza a pasta de Música da vítima como um local para armazenar o malware e é suportado por uma infraestrutura de mais de 20 domínios únicos. Recentemente, campanhas que distribuem o PureHVNC RAT têm utilizado táticas de engenharia social, como anúncios de emprego falsos, para enganar as vítimas. A interconexão entre grupos de ransomware russos sugere uma adaptação constante às condições do mercado e uma dependência de relações de confiança entre os operadores.

Pesquisadores estão alertando sobre a evolução do malware RatOn, que inicialmente clonava pagamentos por aproximação NFC e agora se transformou em um trojan complexo de acesso remoto. Este malware é capaz de realizar fraudes através de sistemas de transferência automatizada, monitorar dispositivos móveis e roubar senhas de aplicativos como WhatsApp e serviços bancários. O RatOn se espalha por meio de links falsos que prometem conteúdo adulto, como um suposto ‘TikTok +18’. Após a instalação, o malware solicita permissões que permitem a instalação de aplicativos de terceiros, evitando as proteções das lojas oficiais. Uma vez ativo, ele pode capturar credenciais, travar o celular e exigir resgates em criptomoedas. Até agora, os ataques foram observados na República Tcheca e Eslováquia, mas a possibilidade de sua chegada ao Brasil é uma preocupação crescente. Para se proteger, recomenda-se não conceder permissões excessivas a aplicativos, utilizar autenticação em duas etapas e evitar links suspeitos.

Uma nova campanha de cibersegurança está atacando usuários de língua chinesa através de uma técnica chamada SEO poisoning, que utiliza sites falsos para distribuir malware. Os atacantes manipulam os rankings de busca com plugins de SEO e registram domínios semelhantes a sites legítimos, enganando as vítimas a baixarem software malicioso. Entre os malwares identificados estão HiddenGh0st e Winos, ambos variantes de um trojan de acesso remoto conhecido como Gh0st RAT. A campanha foi descoberta pela Fortinet em agosto de 2025 e redireciona usuários que buscam ferramentas populares como Google Chrome e WhatsApp para sites fraudulentos que instalam malware disfarçado. O malware é projetado para evitar detecções, realizando verificações de antivírus e utilizando técnicas de hijacking para garantir persistência no sistema. Além disso, a Zscaler identificou uma campanha paralela com um novo malware chamado kkRAT, que também visa usuários de língua chinesa. Essa ameaça é particularmente preocupante, pois pode manipular dados de criptomoedas e coletar informações sensíveis. A complexidade e a sofisticação dessas campanhas destacam a necessidade de vigilância constante e precauções rigorosas ao baixar software da internet.

Pesquisadores de segurança da ThreatFabric MTI descobriram um novo trojan bancário para Android, chamado RatOn, que combina táticas clássicas de sobreposição e relé NFC com acesso remoto completo e capacidades de Sistema de Transferência Automatizada (ATS). Emergiu em 5 de julho de 2025 e evoluiu até 29 de agosto de 2025, representando a primeira integração conhecida de ataques de relé NFC em um framework de Trojan de Acesso Remoto.

O ataque começa quando as vítimas baixam um APK malicioso disfarçado de instalador de aplicativos de sites adultos da República Tcheca e da Eslováquia. Após a instalação, o trojan solicita permissões de Acessibilidade e Administrador do Dispositivo, permitindo que opere em segundo plano. RatOn monitora continuamente o estado do dispositivo, enviando capturas de tela e descrições textuais dos elementos da interface do usuário para seu servidor de controle.

O grupo de cibercriminosos TAG-150, ativo desde março de 2025, está por trás do malware CastleLoader e do trojan de acesso remoto CastleRAT. O CastleRAT, disponível nas versões Python e C, permite coletar informações do sistema, baixar e executar cargas adicionais, além de executar comandos via CMD e PowerShell. A análise da Recorded Future indica que o CastleLoader é utilizado como vetor de acesso inicial para uma variedade de malwares, incluindo trojans de acesso remoto e ladrões de informações. As infecções geralmente ocorrem por meio de ataques de phishing que imitam plataformas legítimas ou repositórios do GitHub. O CastleRAT possui funcionalidades avançadas, como registro de teclas e captura de telas, e utiliza perfis da Steam como servidores de comando e controle. Recentemente, foram identificadas técnicas de evasão, como o uso de prompts de Controle de Conta de Usuário (UAC) para evitar detecções. Além disso, novas famílias de malware, como TinkyWinkey e Inf0s3c Stealer, foram descobertas, aumentando a preocupação com a segurança cibernética. A situação exige atenção redobrada das empresas, especialmente em relação à proteção de dados e conformidade com a LGPD.

A empresa de segurança em nuvem Zscaler identificou 77 aplicativos maliciosos na Google Play Store, que juntos somavam 19 milhões de downloads. A maioria desses aplicativos se disfarçava como ferramentas utilitárias ou de personalização, mas continha malwares, incluindo o trojan Anatsa, que rouba dados bancários. Essa versão do Anatsa é capaz de detectar teclas digitadas, ler e enviar SMS, e evitar detecções. Além disso, 66% dos aplicativos eram adware, enquanto 25% continham o malware Joker, que pode acessar mensagens, tirar prints de tela e cadastrar usuários em serviços pagos sem autorização. Os aplicativos maliciosos afetaram até 831 instituições em todo o mundo, incluindo bancos e operadores de criptomoedas. Após a análise, a Google removeu os aplicativos da loja. Para se proteger, é recomendado ativar o Play Protect e ter cautela ao baixar aplicativos, confiando apenas em publicadores de boa reputação e limitando permissões desnecessárias.

A equipe de pesquisa zLabs da Zimperium revelou uma evolução significativa do trojan bancário Hook para Android, agora na versão Hook v3, que incorpora 107 comandos remotos, sendo 38 novos recursos que ampliam suas capacidades. Entre as inovações mais preocupantes estão as sobreposições de estilo ransomware, que exibem mensagens de extorsão em tela cheia com detalhes de pagamento em criptomoeda, e um mecanismo agressivo de bypass de tela de bloqueio, que engana as vítimas a inserirem suas credenciais. Além disso, o malware pode exibir uma tela de escaneamento NFC falsa para roubar dados de pagamento sensíveis.

Pesquisadores em cibersegurança estão observando um preocupante ressurgimento de malwares clássicos do tipo cavalo de Troia, impulsionados por Modelos de Linguagem de Grande Escala (LLMs). Esses novos malwares, como JustAskJacky e TamperedChef, utilizam funcionalidades legítimas para se disfarçar, dificultando a detecção por métodos tradicionais. A evolução das ferramentas de desenvolvimento baseadas em IA permitiu que ameaçadores criassem códigos sofisticados que evitam sistemas de detecção baseados em assinaturas. Por exemplo, o TamperedChef permaneceu indetectado no VirusTotal por seis semanas, mesmo após ser desempacotado. As aplicações que promovem esses trojans apresentam uma aparência extremamente legítima, com sites profissionais e conteúdo convincente. Isso torna a análise comportamental crucial, já que a intuição do usuário sobre sites suspeitos não é mais suficiente. Em vez disso, técnicas de análise dinâmica e comportamental são necessárias para identificar padrões de comportamento suspeitos, como os observados no JustAskJacky. A combinação de técnicas clássicas de engano com a sofisticação moderna representa uma mudança significativa no cenário de ameaças, exigindo que organizações e usuários individuais adaptem suas estratégias de segurança.

Pesquisadores de cibersegurança revelaram detalhes sobre o trojan bancário para Android ERMAC 3.0, que apresenta uma evolução significativa em suas capacidades de injeção de formulários e roubo de dados, visando mais de 700 aplicativos de bancos, compras e criptomoedas. Inicialmente documentado em setembro de 2021, o ERMAC é atribuído ao ator de ameaças DukeEugene e é considerado uma evolução dos malwares Cerberus e BlackRock.

A nova versão inclui métodos de injeção de formulários aprimorados, um painel de comando e controle (C2) reformulado, um novo backdoor para Android e comunicações criptografadas com AES-CBC. A Hunt.io conseguiu acessar o código-fonte completo do malware, revelando falhas críticas na infraestrutura dos operadores, como um segredo JWT codificado e um token de administrador estático. Essas vulnerabilidades oferecem oportunidades para que defensores rastreiem e interrompam operações ativas do ERMAC.