Windows

A nova versão 5.0 do ransomware LockBit representa um avanço significativo em suas operações de ransomware como serviço (RaaS). Pela primeira vez, o LockBit oferece binários totalmente suportados para Windows, diversas distribuições Linux e hipervisores VMware ESXi, permitindo que atacantes comprometam simultaneamente endpoints, servidores e hosts de virtualização. Essa capacidade de ataque multiplataforma reduz drasticamente o tempo de impacto, afetando tanto as camadas de produção quanto de virtualização. Após a desarticulação da infraestrutura do LockBit em fevereiro de 2024, seus afiliados rapidamente migraram para novos canais de comando e controle, demonstrando resiliência e inovação. A versão 5.0 introduz técnicas avançadas de evasão e criptografia, como execução em memória e rotinas de criptografia paralela, dificultando a resposta a incidentes e a recuperação baseada em backups. Para se proteger contra essa ameaça, as organizações devem adotar uma estratégia de defesa em profundidade, que inclua segmentação de rede, controles de acesso, proteção de endpoints e servidores, segurança de hipervisores e rigor na recuperação de dados.

O SetupHijack é uma nova ferramenta de pesquisa em segurança de código aberto que explora condições de corrida e manipulação insegura de arquivos em processos de instalação do Windows para obter escalonamento de privilégios. A ferramenta monitora diretórios graváveis, como %TEMP%, %APPDATA% e %USERPROFILE%\Downloads, substituindo executáveis de instaladores por cargas úteis fornecidas pelo atacante, que são executadas com direitos elevados antes que as verificações de integridade sejam concluídas.

Os instaladores do Windows frequentemente colocam temporariamente executáveis em locais graváveis antes da execução. O SetupHijack opera no contexto de um usuário não privilegiado, escaneando continuamente esses diretórios. Quando um arquivo alvo aparece, a ferramenta rapidamente o substitui por uma carga útil personalizada, criando uma janela de corrida (TOCTOU). Se o processo privilegiado executar o arquivo sequestrado antes de verificar sua autenticidade, a carga útil do atacante é executada com privilégios de SYSTEM ou Administrador.

O ransomware BlackLock, uma ameaça sofisticada que opera em múltiplas plataformas, foi identificado como um risco significativo para organizações que utilizam sistemas Windows, Linux e VMware ESXi. Desenvolvido na linguagem Go, BlackLock possui um design modular e um modelo de Ransomware-as-a-Service (RaaS), permitindo que seus operadores personalizem ataques de acordo com as necessidades. Desde sua primeira aparição em junho de 2024, o grupo por trás do ransomware, inicialmente chamado El Dorado, rebatizou-se como BlackLock em setembro do mesmo ano. O ransomware é capaz de criptografar arquivos em diferentes sistemas, utilizando rotinas avançadas de criptografia, como o algoritmo ChaCha20, e técnicas de troca de chaves como o ECDH para proteger os metadados. Após a criptografia, o BlackLock apaga cópias de sombra e limpa a lixeira para dificultar a recuperação dos dados. O grupo tem como alvo setores variados, incluindo instituições públicas, educação, transporte e manufatura, com operações registradas nos EUA, Coreia do Sul e Japão. Dada sua capacidade de afetar ambientes críticos, as equipes de segurança devem adotar estratégias rigorosas de backup e proteção de endpoints para mitigar os riscos associados a esse ransomware.

O XillenStealer é um malware modular baseado em Python que tem se espalhado rapidamente entre cibercriminosos de baixo nível, devido à sua interface intuitiva e capacidades abrangentes de coleta de dados. Publicado no GitHub, ele utiliza funções nativas do Windows e bibliotecas de cookies de navegadores para extrair informações sensíveis, como credenciais de navegadores, carteiras de criptomoedas e tokens de sessões de mensagens. O malware é distribuído com um construtor integrado que facilita a configuração e a compilação em executáveis autônomos.

Pesquisadores de cibersegurança descobriram uma sofisticada campanha de malvertising que utiliza repositórios oficiais do GitHub para distribuir malware disfarçado como downloads do cliente GitHub Desktop. O ataque começa quando atores de ameaças ‘forkam’ repositórios legítimos do GitHub, inserindo conteúdo malicioso em arquivos README.md. Links manipulados direcionam os usuários para esses repositórios comprometidos, onde encontram uma página que parece ser a oficial do GitHub Desktop. No entanto, o link de download leva a um instalador malicioso, identificado como GitHubDesktopSetup-x64.exe, que inicia uma cadeia de execução complexa envolvendo processos legítimos do Windows para evitar a detecção. O malware utiliza técnicas de evasão sofisticadas, armazenando cargas úteis codificadas em mensagens de commit e executando scripts PowerShell maliciosos. A campanha é direcionada especificamente a sistemas Windows e demonstra como plataformas confiáveis podem ser abusadas para distribuir malware, destacando a necessidade de soluções robustas de detecção e resposta em endpoints e a importância da educação dos usuários sobre a verificação de fontes de download.

O ZynorRAT, um novo Trojan de Acesso Remoto (RAT), está gerando preocupações entre pesquisadores de segurança devido às suas capacidades multiplataforma e à infraestrutura de comando e controle (C2) furtiva. Lançado em julho de 2025, o ZynorRAT utiliza binários em Go para Linux e Windows, permitindo uma gama de funções controladas por atacantes através de um bot no Telegram. O RAT estabelece seu canal C2 por meio do Telegram, incorporando o token do bot e o identificador de chat diretamente no binário. Ao ser executado, ele consulta a API do Telegram para comandos, executando instruções reconhecidas ou revertendo para a execução de shell. Entre as funções disponíveis estão exfiltração de arquivos, listagem de diretórios e processos, captura de tela e instalação de persistência. O ZynorRAT também demonstra um desenvolvimento ativo, com uma redução nas taxas de detecção em uploads sucessivos ao VirusTotal. A detecção e mitigação são possíveis através de regras específicas e assinaturas YARA, com recomendações para monitoramento contínuo e auditoria de diretórios de serviços de usuário. Dada a sua evolução e potencial de exploração, as organizações devem atualizar suas regras de detecção e reforçar controles de saída de rede.

Pesquisadores de cibersegurança identificaram duas novas famílias de malware: CHILLYHELL, um backdoor modular para macOS, e ZynorRAT, um trojan de acesso remoto (RAT) baseado em Go que ataca sistemas Windows e Linux. O CHILLYHELL, atribuído ao grupo de hackers UNC4487, é projetado para arquiteturas Intel e foi descoberto em uma amostra enviada ao VirusTotal em maio de 2025. Este malware se destaca por suas múltiplas técnicas de persistência e pela capacidade de modificar timestamps para evitar detecções. Ele se comunica com servidores de comando e controle (C2) e pode executar uma variedade de comandos, incluindo a coleta de informações do sistema e ataques de força bruta. Por outro lado, o ZynorRAT utiliza um bot do Telegram para gerenciar máquinas infectadas, permitindo exfiltração de arquivos e execução de comandos arbitrários. Embora o ZynorRAT tenha sido submetido ao VirusTotal em julho de 2025, ele ainda está em desenvolvimento, especialmente na versão para Windows. Ambas as ameaças ressaltam a evolução das técnicas de malware, exigindo atenção redobrada de profissionais de segurança da informação.

Uma nova campanha de cibersegurança identificada pela Darktrace revela um sofisticado malware de criptomineração que utiliza o mapa de caracteres do Windows para se infiltrar em sistemas. Conhecido como cryptojacking, esse tipo de ataque utiliza o poder de processamento dos computadores para minerar criptomoedas em benefício dos hackers. A análise foi conduzida pelas especialistas Keanna Grelicha e Tara Gould, que detectaram um comportamento anômalo em um cliente, indicando a presença de um novo agente PowerShell. O malware, denominado NBMiner, foi introduzido através de um loader Autolt ofuscado, que se disfarça sob camadas de código para evitar a detecção. O ataque se inicia com a execução do programa ‘charmap.exe’, que verifica se ferramentas de segurança estão ativas antes de se conectar a um pool de mineração. Embora inicialmente cause aumento no consumo de energia e lentidão do sistema, o cryptojacking pode levar a problemas mais sérios, como roubo de dados pessoais. A Darktrace conseguiu mitigar a ameaça ao bloquear a conexão do dispositivo infectado com os servidores dos hackers, destacando a importância de medidas de segurança eficazes.

Pesquisadores de segurança revelaram uma vulnerabilidade de estouro de buffer baseada em heap no Driver de Serviço WOW Thunk de Streaming do Kernel do Windows, identificado como CVE-2025-53149. A falha, localizada no componente ksthunk.sys, foi divulgada de forma responsável à Microsoft, que já lançou um patch para corrigir a vulnerabilidade. Essa falha crítica permite que atacantes executem código arbitrário com privilégios elevados por meio de solicitações IOCTL (Input/Output Control) maliciosas. A vulnerabilidade se origina na função CKSAutomationThunk::HandleArrayProperty(), que não valida corretamente os tamanhos dos buffers de saída durante operações de recuperação de propriedades de dispositivos multimídia. O problema ocorre quando o código não verifica adequadamente o comprimento do buffer de saída em relação ao tamanho real dos dados retornados, resultando em uma condição de estouro de buffer. Para explorar essa vulnerabilidade, os atacantes precisam criar solicitações IOCTL direcionadas a dispositivos multimídia que implementam os manipuladores de propriedades afetados. A Microsoft implementou validações adicionais no código para mitigar o risco de exploração. Organizações que utilizam sistemas Windows com hardware multimídia especializado devem priorizar a aplicação das atualizações de segurança de agosto de 2025 para evitar riscos de exploração associados a essa vulnerabilidade.

O grupo de ransomware Dire Wolf, que surgiu em maio de 2025, rapidamente se tornou uma ameaça significativa à cibersegurança, atacando organizações em diversas indústrias e regiões. Desde seu primeiro ataque, que resultou na divulgação de seis vítimas em um site da darknet, o grupo tem utilizado uma estratégia de dupla extorsão, combinando a criptografia de dados com ameaças de vazamento de informações.

A técnica de criptografia do Dire Wolf é sofisticada, utilizando algoritmos como Curve25519 e ChaCha20, o que torna a recuperação de dados extremamente difícil. O ransomware não utiliza arquivos de configuração tradicionais, mas sim argumentos de linha de comando para controle, e implementa um sistema de mutex para evitar execuções múltiplas. Além disso, o malware apaga cópias de sombra e interrompe serviços essenciais, eliminando opções de recuperação.

Em agosto de 2025, a empresa de cibersegurança Cyfirma identificou o Inf0s3c Stealer, um malware baseado em Python que visa sistemas Windows e exfiltra dados através do Discord. O malware, um executável portátil de 64 bits, utiliza técnicas de empacotamento duplo com UPX e PyInstaller, dificultando a detecção por assinaturas e a engenharia reversa. Ao ser executado, ele coleta informações do sistema, como detalhes de hardware e parâmetros de rede, e realiza capturas de tela e imagens da webcam, se autorizado. A fase final do ataque foca no roubo de credenciais, extraindo dados de perfis de navegadores e senhas de Wi-Fi. Os dados coletados são organizados em pastas e enviados para um webhook malicioso no Discord, disfarçado em tráfego HTTPS legítimo. Para persistência, o malware se copia na pasta de Inicialização do Windows e pode desativar serviços antivírus. Para mitigar essa ameaça, recomenda-se a implementação de proteção de endpoint baseada em comportamento, filtragem de saída rigorosa e monitoramento de atividades suspeitas. A situação exige atenção, especialmente para organizações que utilizam o Discord e outras plataformas afetadas.

O grupo de cibercriminosos conhecido como Silver Fox tem utilizado um driver vulnerável, o “amsdk.sys”, associado ao WatchDog Anti-malware, em um ataque do tipo Bring Your Own Vulnerable Driver (BYOVD). Este driver, que é um dispositivo do kernel do Windows assinado pela Microsoft, apresenta falhas que permitem a desativação de soluções de segurança em sistemas comprometidos. A campanha, identificada pela Check Point, visa neutralizar produtos de proteção de endpoint, facilitando a instalação de malware sem acionar defesas baseadas em assinatura.

Uma operação de espionagem cibernética sofisticada, conhecida como Operação HanKook Phantom, expôs usuários do Windows na Ásia e no Oriente Médio a uma ameaça avançada que utiliza PDFs e arquivos de atalho do Windows (LNK) como principais vetores de infecção. A campanha, descoberta por pesquisadores do Seqrite Lab, está ligada ao grupo patrocinado pelo Estado norte-coreano APT-37, famoso por ataques de spear-phishing. Os alvos incluem organizações governamentais, de defesa e acadêmicas, que recebem arquivos que aparentam ser boletins informativos legítimos, mas que contêm arquivos LNK maliciosos. Quando executados, esses arquivos não apenas abrem documentos, mas também extraem e executam cargas úteis maliciosas através do PowerShell. A operação se destaca pelo uso inovador de serviços de nuvem populares para comunicação de comando e controle, disfarçando o tráfego de exfiltração de dados como uploads normais de PDF. Essa abordagem minimiza a detecção por antivírus tradicionais e destaca a necessidade de monitoramento avançado por parte das organizações, especialmente em relação à atividade de arquivos LNK e tráfego anômalo em serviços de nuvem.

A Docker lançou correções para uma vulnerabilidade crítica no aplicativo Docker Desktop para Windows e macOS, identificada como CVE-2025-9074, com um CVSS de 9.3. Essa falha permite que um container malicioso acesse o Docker Engine e crie novos containers sem a necessidade de montar o socket do Docker, o que pode resultar em acesso não autorizado a arquivos do sistema host. O problema reside na falta de autenticação para conexões ao Docker Engine API, permitindo que um container privilegiado tenha acesso total ao sistema subjacente. Um ataque de prova de conceito demonstrou que um simples pedido HTTP poderia comprometer completamente o host. No Windows, um atacante pode montar o sistema de arquivos inteiro e acessar arquivos sensíveis, enquanto no macOS, a aplicação possui uma camada de isolamento que requer permissão do usuário para acessar diretórios. A versão Linux do Docker não é afetada, pois utiliza um pipe nomeado em vez de um socket TCP. A vulnerabilidade pode ser explorada por meio de containers maliciosos ou por meio de uma falha de solicitação do lado do servidor (SSRF).

Recentemente, a Microsoft Threat Intelligence relatou um aumento significativo em ataques de engenharia social conhecidos como ClickFix, que visam usuários de Windows e Mac em todo o mundo. Esses ataques exploram a tendência dos usuários de resolver problemas técnicos menores, enganando-os para que executem comandos maliciosos disfarçados de etapas legítimas de solução de problemas. O ciclo típico de um ataque ClickFix começa com e-mails de phishing ou anúncios maliciosos que redirecionam os usuários para páginas de captura que imitam serviços confiáveis, como Google reCAPTCHA.