Trojan

O Zloader, também conhecido como Terdot, DELoader ou Silent Night, ressurgiu como um sofisticado trojan de acesso inicial, fornecendo aos operadores de ransomware uma forma discreta de invadir redes corporativas após quase dois anos de inatividade. Originado do código do trojan bancário Zeus em 2015, as novas versões 2.11.6.0 e 2.13.7.0 apresentam camadas de ofuscação aprimoradas e medidas anti-análise robustas, além de protocolos de rede refinados para evitar sistemas de detecção modernos.

Pesquisadores em cibersegurança descobriram um novo loader de malware chamado CountLoader, utilizado por gangues de ransomware russas para entregar ferramentas de pós-exploração, como Cobalt Strike e AdaptixC2, além de um trojan de acesso remoto conhecido como PureHVNC RAT. O CountLoader aparece em três versões: .NET, PowerShell e JavaScript, e tem sido empregado em campanhas de phishing direcionadas a indivíduos na Ucrânia, utilizando iscas em PDF que se passam pela Polícia Nacional da Ucrânia. A versão em PowerShell já havia sido identificada anteriormente pela Kaspersky, que a associou a iscas relacionadas ao DeepSeek. O malware é capaz de reconfigurar instâncias de navegação para forçar o tráfego através de um proxy controlado pelos atacantes, permitindo a manipulação de dados. A versão JavaScript é a mais robusta, oferecendo múltiplos métodos para download de arquivos e execução de binários maliciosos. CountLoader utiliza a pasta de Música da vítima como um local para armazenar o malware e é suportado por uma infraestrutura de mais de 20 domínios únicos. Recentemente, campanhas que distribuem o PureHVNC RAT têm utilizado táticas de engenharia social, como anúncios de emprego falsos, para enganar as vítimas. A interconexão entre grupos de ransomware russos sugere uma adaptação constante às condições do mercado e uma dependência de relações de confiança entre os operadores.

Pesquisadores estão alertando sobre a evolução do malware RatOn, que inicialmente clonava pagamentos por aproximação NFC e agora se transformou em um trojan complexo de acesso remoto. Este malware é capaz de realizar fraudes através de sistemas de transferência automatizada, monitorar dispositivos móveis e roubar senhas de aplicativos como WhatsApp e serviços bancários. O RatOn se espalha por meio de links falsos que prometem conteúdo adulto, como um suposto ‘TikTok +18’. Após a instalação, o malware solicita permissões que permitem a instalação de aplicativos de terceiros, evitando as proteções das lojas oficiais. Uma vez ativo, ele pode capturar credenciais, travar o celular e exigir resgates em criptomoedas. Até agora, os ataques foram observados na República Tcheca e Eslováquia, mas a possibilidade de sua chegada ao Brasil é uma preocupação crescente. Para se proteger, recomenda-se não conceder permissões excessivas a aplicativos, utilizar autenticação em duas etapas e evitar links suspeitos.

Uma nova campanha de cibersegurança está atacando usuários de língua chinesa através de uma técnica chamada SEO poisoning, que utiliza sites falsos para distribuir malware. Os atacantes manipulam os rankings de busca com plugins de SEO e registram domínios semelhantes a sites legítimos, enganando as vítimas a baixarem software malicioso. Entre os malwares identificados estão HiddenGh0st e Winos, ambos variantes de um trojan de acesso remoto conhecido como Gh0st RAT. A campanha foi descoberta pela Fortinet em agosto de 2025 e redireciona usuários que buscam ferramentas populares como Google Chrome e WhatsApp para sites fraudulentos que instalam malware disfarçado. O malware é projetado para evitar detecções, realizando verificações de antivírus e utilizando técnicas de hijacking para garantir persistência no sistema. Além disso, a Zscaler identificou uma campanha paralela com um novo malware chamado kkRAT, que também visa usuários de língua chinesa. Essa ameaça é particularmente preocupante, pois pode manipular dados de criptomoedas e coletar informações sensíveis. A complexidade e a sofisticação dessas campanhas destacam a necessidade de vigilância constante e precauções rigorosas ao baixar software da internet.

Pesquisadores de segurança da ThreatFabric MTI descobriram um novo trojan bancário para Android, chamado RatOn, que combina táticas clássicas de sobreposição e relé NFC com acesso remoto completo e capacidades de Sistema de Transferência Automatizada (ATS). Emergiu em 5 de julho de 2025 e evoluiu até 29 de agosto de 2025, representando a primeira integração conhecida de ataques de relé NFC em um framework de Trojan de Acesso Remoto.

O ataque começa quando as vítimas baixam um APK malicioso disfarçado de instalador de aplicativos de sites adultos da República Tcheca e da Eslováquia. Após a instalação, o trojan solicita permissões de Acessibilidade e Administrador do Dispositivo, permitindo que opere em segundo plano. RatOn monitora continuamente o estado do dispositivo, enviando capturas de tela e descrições textuais dos elementos da interface do usuário para seu servidor de controle.

O grupo de cibercriminosos TAG-150, ativo desde março de 2025, está por trás do malware CastleLoader e do trojan de acesso remoto CastleRAT. O CastleRAT, disponível nas versões Python e C, permite coletar informações do sistema, baixar e executar cargas adicionais, além de executar comandos via CMD e PowerShell. A análise da Recorded Future indica que o CastleLoader é utilizado como vetor de acesso inicial para uma variedade de malwares, incluindo trojans de acesso remoto e ladrões de informações. As infecções geralmente ocorrem por meio de ataques de phishing que imitam plataformas legítimas ou repositórios do GitHub. O CastleRAT possui funcionalidades avançadas, como registro de teclas e captura de telas, e utiliza perfis da Steam como servidores de comando e controle. Recentemente, foram identificadas técnicas de evasão, como o uso de prompts de Controle de Conta de Usuário (UAC) para evitar detecções. Além disso, novas famílias de malware, como TinkyWinkey e Inf0s3c Stealer, foram descobertas, aumentando a preocupação com a segurança cibernética. A situação exige atenção redobrada das empresas, especialmente em relação à proteção de dados e conformidade com a LGPD.

A empresa de segurança em nuvem Zscaler identificou 77 aplicativos maliciosos na Google Play Store, que juntos somavam 19 milhões de downloads. A maioria desses aplicativos se disfarçava como ferramentas utilitárias ou de personalização, mas continha malwares, incluindo o trojan Anatsa, que rouba dados bancários. Essa versão do Anatsa é capaz de detectar teclas digitadas, ler e enviar SMS, e evitar detecções. Além disso, 66% dos aplicativos eram adware, enquanto 25% continham o malware Joker, que pode acessar mensagens, tirar prints de tela e cadastrar usuários em serviços pagos sem autorização. Os aplicativos maliciosos afetaram até 831 instituições em todo o mundo, incluindo bancos e operadores de criptomoedas. Após a análise, a Google removeu os aplicativos da loja. Para se proteger, é recomendado ativar o Play Protect e ter cautela ao baixar aplicativos, confiando apenas em publicadores de boa reputação e limitando permissões desnecessárias.

A equipe de pesquisa zLabs da Zimperium revelou uma evolução significativa do trojan bancário Hook para Android, agora na versão Hook v3, que incorpora 107 comandos remotos, sendo 38 novos recursos que ampliam suas capacidades. Entre as inovações mais preocupantes estão as sobreposições de estilo ransomware, que exibem mensagens de extorsão em tela cheia com detalhes de pagamento em criptomoeda, e um mecanismo agressivo de bypass de tela de bloqueio, que engana as vítimas a inserirem suas credenciais. Além disso, o malware pode exibir uma tela de escaneamento NFC falsa para roubar dados de pagamento sensíveis.

Pesquisadores em cibersegurança estão observando um preocupante ressurgimento de malwares clássicos do tipo cavalo de Troia, impulsionados por Modelos de Linguagem de Grande Escala (LLMs). Esses novos malwares, como JustAskJacky e TamperedChef, utilizam funcionalidades legítimas para se disfarçar, dificultando a detecção por métodos tradicionais. A evolução das ferramentas de desenvolvimento baseadas em IA permitiu que ameaçadores criassem códigos sofisticados que evitam sistemas de detecção baseados em assinaturas. Por exemplo, o TamperedChef permaneceu indetectado no VirusTotal por seis semanas, mesmo após ser desempacotado. As aplicações que promovem esses trojans apresentam uma aparência extremamente legítima, com sites profissionais e conteúdo convincente. Isso torna a análise comportamental crucial, já que a intuição do usuário sobre sites suspeitos não é mais suficiente. Em vez disso, técnicas de análise dinâmica e comportamental são necessárias para identificar padrões de comportamento suspeitos, como os observados no JustAskJacky. A combinação de técnicas clássicas de engano com a sofisticação moderna representa uma mudança significativa no cenário de ameaças, exigindo que organizações e usuários individuais adaptem suas estratégias de segurança.

Pesquisadores de cibersegurança revelaram detalhes sobre o trojan bancário para Android ERMAC 3.0, que apresenta uma evolução significativa em suas capacidades de injeção de formulários e roubo de dados, visando mais de 700 aplicativos de bancos, compras e criptomoedas. Inicialmente documentado em setembro de 2021, o ERMAC é atribuído ao ator de ameaças DukeEugene e é considerado uma evolução dos malwares Cerberus e BlackRock.

A nova versão inclui métodos de injeção de formulários aprimorados, um painel de comando e controle (C2) reformulado, um novo backdoor para Android e comunicações criptografadas com AES-CBC. A Hunt.io conseguiu acessar o código-fonte completo do malware, revelando falhas críticas na infraestrutura dos operadores, como um segredo JWT codificado e um token de administrador estático. Essas vulnerabilidades oferecem oportunidades para que defensores rastreiem e interrompam operações ativas do ERMAC.