Windows

O TaskHound é uma ferramenta inovadora que visa detectar tarefas agendadas no Windows que operam com privilégios elevados e credenciais armazenadas, um alvo atrativo para atacantes que buscam movimentação lateral e escalonamento de privilégios. Muitas organizações configuram essas tarefas de forma inadequada, permitindo que credenciais sejam armazenadas em disco, o que as torna vulneráveis a ataques. O TaskHound automatiza a identificação dessas tarefas em ambientes Active Directory, economizando tempo e reduzindo erros em avaliações de segurança. Ele destaca tarefas críticas que rodam como administradores de domínio e integra-se ao BloodHound, permitindo uma análise contextualizada das rotas de ataque. Além disso, a ferramenta analisa datas de alteração de senhas em relação às datas de criação das tarefas, identificando credenciais obsoletas que podem ser exploradas. O TaskHound opera em modos online e offline, facilitando a análise em diferentes cenários. Para as operações defensivas, ele ajuda a identificar tarefas que merecem investigação imediata, reforçando a importância da gestão adequada de acessos privilegiados e da auditoria regular do Active Directory.

A Microsoft lançou um pacote de correções em 11 de novembro de 2025, abordando 63 falhas de segurança no Windows, incluindo uma vulnerabilidade crítica de dia zero, identificada como CVE-2025-62215. Dentre as falhas corrigidas, quatro foram classificadas como críticas e 59 como importantes. As vulnerabilidades incluem 29 relacionadas à escalada de privilégios, 16 à execução remota de código e 11 à divulgação de informações. A falha de dia zero, descoberta pelo Centro de Inteligência de Ameaças da Microsoft, permitia que um invasor, já com acesso ao sistema, aumentasse seus privilégios localmente devido a uma condição de corrida no kernel do Windows. Essa falha poderia permitir que hackers sobrescrevessem a memória do sistema, sequestrando o fluxo de execução. A Microsoft não divulgou detalhes sobre a exploração da vulnerabilidade, mas especialistas acreditam que ela pode ter sido utilizada em ataques de phishing ou outras falhas. As correções se somam a 27 vulnerabilidades já solucionadas desde a última atualização de segurança do Edge, em outubro de 2025.

Pesquisadores de segurança identificaram um aumento nos ataques de coerção de autenticação que exploram os mecanismos de Chamada de Procedimento Remoto (RPC) do Windows. Esses ataques manipulam o comportamento de autenticação de rede embutido no sistema, permitindo que máquinas enviem credenciais para servidores controlados por atacantes, sem a necessidade de interação do usuário ou privilégios administrativos. Ao abusar de funções RPC menos conhecidas, como MS-DFSNM e MS-EVEN, os atacantes conseguem fazer com que ativos valiosos, como Controladores de Domínio e Servidores de Certificado, se autentiquem em servidores maliciosos. Uma vez autenticados, os atacantes capturam hashes NTLM e realizam ataques de retransmissão para se mover lateralmente na rede. Para se defender contra esses ataques, recomenda-se monitorar rigorosamente o tráfego RPC e implementar técnicas de prevenção, como a assinatura SMB e a proteção estendida para autenticação. A evolução desses ataques representa uma nova ameaça que exige visibilidade aprimorada sobre o comportamento do RPC para evitar a extração de credenciais.

Uma nova vulnerabilidade 0-day no Kernel do Windows, identificada como CVE-2025-62215, está sendo ativamente explorada para escalonamento de privilégios. Publicada em 11 de novembro de 2025, a falha é classificada como importante e resulta da execução concorrente de código que utiliza um recurso compartilhado sem a devida sincronização, caracterizando uma condição de corrida. Além disso, a vulnerabilidade envolve gerenciamento inadequado de memória, criando um cenário de ‘double free’ que permite que atacantes escalem privilégios ao serem bem-sucedidos na exploração.

O grupo de ciberespionagem associado à Coreia do Norte, conhecido como Konni, foi identificado em uma nova onda de ataques que visam dispositivos Android e Windows, com o objetivo de roubo de dados e controle remoto. Os atacantes se disfarçaram como conselheiros psicológicos e ativistas de direitos humanos, distribuindo malware disfarçado de programas de alívio do estresse. Uma das táticas mais preocupantes é a exploração dos serviços de rastreamento da Google, permitindo que os invasores redefinam remotamente dispositivos Android, resultando na exclusão não autorizada de dados pessoais. O ataque foi detectado em setembro de 2025 e marca a primeira vez que o grupo utiliza funções legítimas para realizar redefinições remotas. Os atacantes também empregaram e-mails de spear-phishing, imitando entidades legítimas, para obter acesso a computadores e propagar malware através de sessões do aplicativo KakaoTalk. O malware, denominado EndRAT, permite controle total sobre os sistemas comprometidos, incluindo a exfiltração de credenciais do Google. Além disso, o grupo Lazarus foi mencionado por utilizar uma versão atualizada do malware Comebacker em campanhas de espionagem direcionadas a organizações de defesa e aeroespaciais. Essas atividades destacam a crescente sofisticação e a ameaça representada por grupos de ciberespionagem da Coreia do Norte.

Uma vulnerabilidade crítica foi descoberta no Elastic Defend, um software de proteção de endpoint, que pode permitir que atacantes escalem privilégios em sistemas Windows. Identificada como CVE-2025-37735, a falha resulta de um manuseio inadequado das permissões de arquivos no serviço Defend. Quando o serviço é executado com privilégios de nível SYSTEM, ele não preserva corretamente as configurações de permissão originais, criando uma brecha que permite a usuários locais deletar arquivos arbitrários no sistema comprometido. Isso pode levar a uma escalada de privilégios, permitindo que um atacante com acesso limitado obtenha controle administrativo total da máquina afetada. A Elastic classificou a vulnerabilidade com um score CVSS de 7.0 (Alto), o que indica um risco significativo, especialmente em ambientes onde usuários locais têm acesso. As organizações são aconselhadas a atualizar imediatamente para as versões corrigidas 8.19.6, 9.1.6 ou 9.2.0, que implementam mecanismos adequados de preservação de permissões. Para aquelas que não podem atualizar imediatamente, a versão 24H2 do Windows 11 oferece mudanças arquitetônicas que dificultam a exploração dessa vulnerabilidade, servindo como uma medida de segurança temporária.

Uma vulnerabilidade crítica no Windows, identificada como CVE-2025-9491, tem sido explorada por cibercriminosos nos últimos oito anos, levantando preocupações sobre a segurança do sistema operacional. Essa falha, que afeta o processamento de arquivos LNK, permite que hackers disseminem malware, como trojans de acesso remoto, através de ataques de phishing. Recentemente, um grupo de cibercriminosos tem direcionado suas ações a diplomatas em países europeus, como Bélgica, Hungria e Itália, utilizando essa vulnerabilidade para espionagem digital. Apesar de a Microsoft ter sido informada sobre a falha, não há indícios de que a empresa esteja trabalhando em uma correção, o que gera incertezas sobre a segurança dos usuários. Enquanto isso, recomenda-se que os usuários permaneçam vigilantes quanto a e-mails suspeitos e evitem abrir arquivos LNK de remetentes desconhecidos. A situação é alarmante, especialmente considerando a crescente sofisticação dos ataques digitais e a necessidade de proteção robusta em um cenário de ameaças cibernéticas em evolução.

Uma nova campanha de malware, conhecida como ValleyRAT, está atacando usuários e organizações que falam chinês, utilizando técnicas avançadas de evasão e escalonamento de privilégios. Identificado pela primeira vez em 2023, o ValleyRAT se destaca por sua capacidade de se esconder e evitar detecções, empregando um modelo de execução em múltiplas camadas. O malware começa com um downloader que carrega um loader, seguido por um injetor e, finalmente, o payload do RAT. O loader, um executável .NET, utiliza criptografia para ocultar seus recursos e se aproveita de ferramentas legítimas da Microsoft para injetar o malware em processos em execução.

O cibercrime está se expandindo para além do ambiente digital, afetando diretamente o mundo físico e a economia global. Recentemente, foram descobertas falhas de segurança críticas no Windows Graphics Device Interface (GDI), que podem permitir a execução remota de código e a divulgação de informações. Essas vulnerabilidades, identificadas como CVE-2025-30388, CVE-2025-53766 e CVE-2025-47984, foram corrigidas pela Microsoft, mas ressaltam a dificuldade em garantir a segurança total de sistemas complexos. Além disso, três cidadãos chineses foram condenados em Cingapura por hackearem sites de jogos, demonstrando como grupos organizados utilizam ciberataques para fraudes e roubo de dados. A análise de malware também está se beneficiando da inteligência artificial, com ferramentas como o ChatGPT acelerando a triagem e análise de trojans sofisticados. Por fim, o Departamento de Segurança Interna dos EUA propôs novas regras para a coleta de dados biométricos em processos de imigração, o que pode ter implicações significativas para a privacidade e segurança de dados. Este cenário destaca a necessidade urgente de uma abordagem integrada de segurança cibernética que considere tanto as ameaças digitais quanto suas repercussões no mundo físico.

A Microsoft identificou um problema que pode afetar usuários de sistemas operacionais Windows após a atualização de segurança de outubro de 2025. Dispositivos com processadores Intel que suportam a tecnologia Connected Standby podem apresentar telas de recuperação do BitLocker inesperadamente durante reinicializações, exigindo que os usuários insiram manualmente a chave de recuperação para restaurar a funcionalidade normal. O problema afeta as versões do Windows 11 (24H2 e 25H2) e do Windows 10 (22H2). A situação ocorre após a instalação de atualizações lançadas em ou após 14 de outubro de 2025. A Microsoft está investigando a causa raiz e já ativou um recurso de reversão de problemas conhecido (KIR) para mitigar o impacto. Embora a interrupção seja temporária e a funcionalidade de criptografia permaneça intacta, a empresa recomenda que os usuários mantenham suas chaves de recuperação acessíveis e monitorem o painel de saúde do Windows para atualizações sobre a resolução do problema. Servidores Windows não são afetados, limitando o impacto principalmente a estações de trabalho de consumidores e empresas.

Uma vulnerabilidade crítica de escalonamento de privilégios foi identificada no Windows Cloud Files Mini Filter Driver, classificada como CVE-2025-55680. Essa falha explora uma vulnerabilidade do tipo time-of-check to time-of-use (TOCTOU), permitindo que atacantes locais contornem restrições de gravação de arquivos e obtenham acesso não autorizado a nível de sistema. A origem da vulnerabilidade remonta a uma divulgação do Project Zero em 2020, que visava prevenir ataques de links simbólicos. No entanto, a validação de strings de caminho ocorre no espaço do usuário antes do processamento em modo kernel, criando uma janela crítica para exploração. Um atacante pode modificar a memória entre a verificação de segurança e a operação real do arquivo, contornando todas as proteções. O processo de exploração envolve a função HsmFltProcessHSMControl da API do Cloud Files, que, ao chamar HsmFltProcessCreatePlaceholders, pode criar arquivos em diretórios protegidos com privilégios de modo kernel. A Microsoft já disponibilizou patches para corrigir essa vulnerabilidade, e as organizações devem priorizar sua aplicação, uma vez que o ataque requer apenas acesso local ao sistema e não necessita de interação do usuário.

Pesquisadores de segurança da Arctic Wolf Labs alertaram sobre um ataque cibernético direcionado a diplomatas europeus, realizado por um grupo de hackers conhecido como Mustang Panda, vinculado ao governo chinês. O ataque utiliza uma vulnerabilidade zero-day no Windows, identificada como CVE-2025-9491, que permite a exploração de arquivos .LNK maliciosos. Esses arquivos foram enviados em e-mails de phishing, disfarçados como convites para eventos diplomáticos, como workshops de defesa da OTAN. Ao serem abertos, os arquivos executam um Trojan de Acesso Remoto (RAT) chamado PlugX, que concede acesso persistente ao sistema comprometido, permitindo a espionagem e a exfiltração de dados. A vulnerabilidade, que é considerada de alta severidade, foi associada a campanhas de espionagem que datam de 2017. A exploração requer interação do usuário, o que a torna menos crítica, mas ainda assim representa um risco significativo para a segurança de informações sensíveis. O ataque destaca a necessidade de vigilância constante e medidas de segurança robustas para proteger dados diplomáticos e governamentais.

Pesquisadores da Unit 42 identificaram uma nova família de malware chamada Airstalk, que ataca sistemas Windows utilizando APIs legítimas de gerenciamento de dispositivos móveis para estabelecer canais de comando e controle (C2) encobertos. O malware possui variantes em PowerShell e .NET, e há indícios de que um ator de estado-nação pode ter utilizado essa ameaça em ataques à cadeia de suprimentos. Airstalk se destaca por explorar a API AirWatch da VMware, agora conhecida como Workspace ONE Unified Endpoint Management, abusando de atributos de dispositivos personalizados e capacidades de upload de arquivos para criar um mecanismo de comunicação bidirecional com os atacantes.

A Microsoft corrigiu uma vulnerabilidade crítica no driver Windows Cloud Files Minifilter, identificada como CVE-2025-55680, que permite a atacantes locais escalar privilégios e criar arquivos arbitrários no sistema. Descoberta por pesquisadores da Exodus Intelligence em março de 2024, a falha foi incluída nas atualizações de segurança de outubro de 2025, recebendo uma pontuação CVSS de 7.8 devido à sua capacidade de conceder acesso em nível SYSTEM por meio de técnicas de side-loading de DLLs.

O ator de ameaças conhecido como zeta88 está promovendo um novo programa de ransomware como serviço (RaaS) chamado Gentlemen’s, que visa ambientes empresariais em sistemas operacionais Windows, Linux e ESXi. Este RaaS se destaca por sua arquitetura modular e compatível com múltiplas plataformas, utilizando linguagens como Go e C para otimização de desempenho. O ransomware implementa chaves efêmeras por arquivo, dificultando a recuperação de dados e aumentando a complexidade da descriptografia. Além disso, o malware possui recursos avançados de segurança operacional, como modos de execução silenciosa e técnicas anti-forense para evitar detecções. O modelo econômico do programa permite que afiliados recebam 90% dos pagamentos de resgate, enquanto os operadores retêm apenas 10%, refletindo uma tendência crescente em operações de ransomware. A operação exclui alvos na Rússia e em países da CEI, focando em empresas da América do Norte, Europa e APAC. Para se proteger contra essa ameaça emergente, as organizações devem priorizar a implementação de soluções de EDR, segmentação de rede e fortalecimento da infraestrutura de backup.

A Microsoft implementou uma mudança significativa em suas versões do Windows 10 e 11, desabilitando a função de pré-visualização de arquivos baixados da internet. Essa decisão visa proteger os usuários de um vetor de ataque que permite o roubo de credenciais sem a necessidade de abrir um arquivo malicioso. A vulnerabilidade estava relacionada ao ‘Mark of the Web’ (MotW), que identifica arquivos baixados da internet. Ao tentar gerar uma prévia, o Windows se conectava automaticamente a servidores maliciosos, enviando hashes NTLM do usuário, que podem ser usados para autenticação em outros serviços da rede. Embora a pré-visualização possa ser reativada, a Microsoft alerta que essa ação deve ser feita com cautela, pois transfere a responsabilidade de segurança para o usuário. Essa mudança é especialmente relevante para ambientes corporativos, onde a segurança das credenciais é crucial. A nova configuração reflete uma prioridade pela segurança em detrimento da conveniência, destacando a necessidade de conscientização sobre os riscos associados a arquivos baixados.

Um pesquisador de cibersegurança apresentou a ferramenta EDR-Redir, que explora drivers de filtro de vinculação e de nuvem do Windows para comprometer sistemas de Detecção e Resposta de Endpoint (EDR). A técnica redireciona pastas executáveis do EDR para locais controlados por atacantes, permitindo injeção de código ou interrupção total do serviço sem a necessidade de privilégios de nível de kernel. O ataque utiliza o recurso de vinculação do Windows, introduzido no Windows 11 versão 24H2, que permite redirecionamento de namespace de sistema de arquivos através de caminhos virtuais. Diferente dos links simbólicos tradicionais, que os EDRs monitoram ativamente, os links de vinculação operam em nível de driver de minifiltro, permitindo redirecionamento transparente que parece legítimo para softwares de segurança. A ferramenta foi testada com sucesso contra Elastic Defend e Sophos Intercept X, redirecionando suas pastas executáveis. Quando a redireção falhou contra o Windows Defender, o pesquisador utilizou a API de Filtro de Nuvem do Windows para corromper a pasta alvo, bloqueando o acesso do Defender. A EDR-Redir está disponível no GitHub, levantando preocupações sobre sua exploração generalizada. A detecção desse tipo de ataque é extremamente desafiadora, pois opera em nível de driver, gerando poucos eventos de segurança. Para mitigar essa ameaça, os EDRs precisam aprimorar os mecanismos de proteção de pastas e implementar monitoramento para atividades de drivers de filtro.

O grupo de ransomware Agenda, também conhecido como Qilin, lançou uma nova variante que utiliza um ransomware baseado em Linux, capaz de operar em sistemas Windows. Essa abordagem representa uma escalada significativa nas operações de ataque multi-plataforma do grupo. Os atacantes empregaram ferramentas legítimas de TI, como Splashtop Remote e WinSCP, para entregar um payload Linux, contornando sistemas de segurança centrados em Windows. A campanha se aproveita de ferramentas de gerenciamento remoto e de transferência de arquivos para implantar ransomware em ambientes híbridos de forma discreta. Além disso, o grupo realizou uma coleta direcionada de credenciais contra a infraestrutura de backup da Veeam, desativando a recuperação e roubando tokens de backup antes de implantar o ransomware. A variante híbrida demonstrou consciência do hipervisor, detectando ambientes VMware ESXi e Nutanix AHV, e utilizou técnicas de Bring Your Own Vulnerable Driver (BYOVD) para neutralizar ferramentas de antivírus. Com mais de 700 organizações comprometidas em 62 países, incluindo setores críticos como manufatura, finanças e saúde, especialistas alertam as empresas a reforçarem os controles de acesso e monitorarem o uso de credenciais. A Trend Vision One™ já detecta e bloqueia os indicadores de comprometimento identificados.

A Microsoft implementou uma atualização de segurança no Windows File Explorer a partir de 14 de outubro de 2025, que desativa automaticamente o painel de pré-visualização para arquivos baixados. Essa medida visa mitigar uma vulnerabilidade que poderia expor hashes NTLM, credenciais sensíveis usadas na autenticação em redes. O vetor de ataque envolve a pré-visualização de arquivos maliciosos que incorporam elementos HTML, permitindo que solicitações de rede não autorizadas sejam disparadas em segundo plano. Com a nova atualização, arquivos de fontes não confiáveis são marcados com o atributo ‘Mark of the Web’, impedindo a pré-visualização e exibindo um aviso ao usuário. Embora a maioria dos usuários não sinta um impacto significativo, a proteção é ativada automaticamente, priorizando a segurança sem comprometer a usabilidade. Para arquivos confiáveis, os usuários podem facilmente reverter a proteção. Essa mudança é especialmente benéfica para ambientes corporativos, onde a segurança é crucial, reduzindo a superfície de ataque e promovendo hábitos de segurança mais seguros. A atualização é um passo importante na luta contra o roubo de credenciais, mantendo os sistemas Windows mais resilientes frente a ameaças cibernéticas.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) emitiu um alerta sobre uma grave vulnerabilidade no Microsoft Windows Server Message Block (SMB), identificada como CVE-2025-33073. Essa falha de controle de acesso inadequado permite que atacantes escalem privilégios em sistemas comprometidos, possibilitando o controle total sobre eles. A vulnerabilidade está sendo ativamente explorada em ataques reais, o que representa uma ameaça significativa para redes federais e infraestrutura crítica. A CISA incluiu essa vulnerabilidade em seu catálogo de Vulnerabilidades Conhecidas e Exploited, exigindo que agências federais a corrijam até 10 de novembro de 2025. Organizações que utilizam sistemas Windows são aconselhadas a revisar as orientações de atualização de segurança da Microsoft e aplicar patches imediatamente. Embora não haja confirmação de que essa vulnerabilidade esteja ligada a ataques de ransomware, falhas de escalonamento de privilégios são frequentemente utilizadas por grupos de ransomware. A rápida ação das organizações é crucial para proteger seus sistemas contra esses ataques, destacando a importância de práticas eficazes de gerenciamento de vulnerabilidades.

Pesquisadores da FortiGuard Labs alertam sobre um novo malware chamado Stealit, que opera como um serviço comercial de roubo de dados. Este vírus, direcionado principalmente a usuários do Windows, é capaz de assumir o controle do computador da vítima, capturando informações sensíveis, como senhas e dados pessoais. O Stealit utiliza uma ferramenta chamada Single Executable Application (SEA), que permite que todos os arquivos maliciosos sejam compactados em um único programa, facilitando sua execução mesmo em sistemas sem Node.js instalado.

O MSIX, padrão de embalagem de aplicativos do Windows, que prometia segurança e flexibilidade, agora se tornou um alvo para operações de malware. A combinação de containerização e assinatura digital está sendo explorada por criminosos que oferecem pacotes maliciosos como um serviço. Esses pacotes, que parecem legítimos, são distribuídos através de campanhas de malvertising e engenharia social, enganando usuários a baixá-los. Os atacantes utilizam certificados assinados por desenvolvedores, permitindo que os pacotes maliciosos evitem a detecção por ferramentas de segurança. Uma vez instalados, esses pacotes podem executar scripts e invocar PowerShell, dificultando a visibilidade e a investigação forense. Para combater essa ameaça, a comunidade de segurança está desenvolvendo novas abordagens de detecção e ambientes de teste controlados, como a ferramenta MSIXBuilder da Splunk, que permite simular ataques sem expor redes a malware real. A análise detalhada dos logs de eventos do Windows é essencial para identificar atividades suspeitas e proteger as organizações contra essas novas táticas de ataque.

A Microsoft anunciou a remoção do driver legado do modem Agere (ltmdm64.sys) do Windows devido à descoberta de duas vulnerabilidades de elevação de privilégios, identificadas como CVE-2025-24052 e CVE-2025-24990. Ambas as falhas afetam todas as versões suportadas do Windows e permitem que atacantes obtenham privilégios de administrador sem interação do usuário. A primeira vulnerabilidade, CVE-2025-24052, é um estouro de buffer baseado em pilha, classificada como ‘Importante’ com um escore CVSS de 7.8, que pode ser explorada localmente por usuários com baixos privilégios. A segunda, CVE-2025-24990, resulta de uma fraqueza de desreferência de ponteiro não confiável e já foi explorada ativamente. Em vez de lançar patches, a Microsoft optou por remover completamente o driver, o que pode impactar dispositivos que ainda dependem de modems analógicos. As organizações devem auditar seus sistemas para identificar dependências de hardware legado e considerar migrações para alternativas suportadas. A recomendação é eliminar qualquer dependência desse hardware para evitar interrupções nos serviços.

O EDR-Freeze é uma ferramenta de prova de conceito que incapacita motores de detecção e resposta em endpoints (EDR) ou antivírus, utilizando componentes legítimos do Windows, como o WerFaultSecure.exe e a API MiniDumpWriteDump. Ao ser executado, o EDR-Freeze_1.0.exe se disfarça como um manipulador de falhas, suspendendo temporariamente processos de segurança, como o MsMpEng.exe (serviço do Windows Defender), sem acionar alertas. Durante a criação de dumps de falha, o EDR-Freeze consegue pausar a coleta de telemetria, mantendo o estado do processo intacto. Após um intervalo configurável, os processos suspensos são retomados, permitindo que os atacantes operem sem serem detectados. Para a investigação, é crucial preservar vestígios do arquivo temporário gerado, t.txt, e analisar a tabela de endereços de importação do WerFaultSecure.exe. A implementação de regras YARA pode ajudar a identificar atividades do EDR-Freeze, destacando a necessidade de análises forenses de memória e caça comportamental em fluxos de resposta a incidentes. Essa técnica demonstra como componentes confiáveis do sistema operacional podem ser explorados para desativar controles de segurança, exigindo uma resposta proativa dos profissionais de cibersegurança.

O ransomware Yurei, identificado pela CYFIRMA em setembro de 2025, apresenta uma nova ameaça para ambientes Windows, utilizando técnicas sofisticadas de criptografia e anti-forense. Escrito em Go, o Yurei adiciona a extensão .Yurei a cada arquivo criptografado, utilizando uma chave/nonce única gerada pelo algoritmo ChaCha20. Antes de iniciar a criptografia, o malware executa comandos PowerShell para eliminar cópias de sombra e backups, dificultando a recuperação de dados. O Yurei se propaga furtivamente por drives removíveis e compartilhamentos SMB, copiando-se como WindowsUpdate.exe e System32_Backup.exe. Após a criptografia, uma nota de resgate é gerada, exigindo pagamento para a recuperação dos arquivos, com ameaças de divulgação de dados caso as exigências não sejam atendidas. A análise revela semelhanças com o projeto de ransomware Prince, mas com melhorias significativas em stealth e eficiência. Para mitigar os impactos do Yurei, as organizações devem implementar políticas de backup imutáveis, regras de EDR para detectar cabeçalhos de arquivos suspeitos e estabelecer planos de contenção rápidos.

Uma falha crítica de segurança foi identificada no Zabbix Agent e Agent2 para Windows, permitindo que atacantes locais escalem privilégios para o nível SYSTEM. A vulnerabilidade, rastreada como CVE-2025-27237, ocorre devido à forma como o agente carrega seu arquivo de configuração do OpenSSL durante a inicialização do serviço. Em versões afetadas, esse arquivo está armazenado em um diretório onde usuários não administrativos têm acesso de gravação. Um atacante pode substituir ou modificar esse arquivo para referenciar uma DLL maliciosa, forçando o agente a carregar e executar código arbitrário como usuário SYSTEM ao reiniciar o serviço. As versões vulneráveis incluem Zabbix Agent e Agent2 de 6.0.0 a 6.0.40, 7.0.0 a 7.0.17, 7.2.0 a 7.2.11 e 7.4.0 a 7.4.1. Para mitigar essa vulnerabilidade, os administradores devem atualizar para versões corrigidas e reiniciar o serviço. A falha foi divulgada de forma responsável e confirmada pela equipe de suporte do Zabbix, que recomenda a aplicação imediata do patch para evitar a exploração da vulnerabilidade.

Uma campanha de malware chamada SORVEPOTEL foi identificada como uma ameaça significativa, visando ambientes Windows ao explorar sessões comprometidas do WhatsApp. A pesquisa indica que 457 das 477 infecções confirmadas estão concentradas no Brasil, com um foco particular em empresas e organizações públicas. O vetor inicial de infecção é um phishing convincente, enviado via WhatsApp ou e-mail, que contém um arquivo ZIP disfarçado de documento inofensivo. Ao ser aberto, o arquivo revela um atalho malicioso que executa um comando PowerShell ofuscado, baixando e executando scripts adicionais de domínios controlados pelos atacantes.

Recentemente, a equipe de pesquisa de segurança da Frog revelou um pacote no PyPI chamado SoopSocks, que se disfarçava como um instalador simples de proxy SOCKS5, mas incorporava funcionalidades de backdoor em sistemas Windows. O pacote, que prometia criar serviços SOCKS5 e relatar dados via webhooks do Discord, foi retirado do PyPI em 29 de setembro após a divulgação de seu comportamento suspeito. As versões iniciais implementavam um servidor SOCKS5 básico, mas atualizações posteriores introduziram um executável compilado em Go, chamado autorun.exe, que se instalava como um serviço do Windows. O instalador executa rotinas silenciosas, eleva privilégios e garante persistência no sistema. O SoopSocks escuta na porta 1080 sem autenticação, permitindo o encaminhamento de tráfego TCP e UDP, enquanto coleta dados de rede e os envia a um webhook do Discord a cada 30 segundos. Os indicadores de comprometimento incluem o binário autorun.exe, o serviço SoopSocksSvc e regras de firewall para a porta 1080. A ameaça representa um alto risco para redes corporativas, exigindo ações imediatas de remediação, como isolamento de hosts infectados e bloqueio de conexões ao webhook do Discord.

A nova versão 5.0 do ransomware LockBit representa um avanço significativo em suas operações de ransomware como serviço (RaaS). Pela primeira vez, o LockBit oferece binários totalmente suportados para Windows, diversas distribuições Linux e hipervisores VMware ESXi, permitindo que atacantes comprometam simultaneamente endpoints, servidores e hosts de virtualização. Essa capacidade de ataque multiplataforma reduz drasticamente o tempo de impacto, afetando tanto as camadas de produção quanto de virtualização. Após a desarticulação da infraestrutura do LockBit em fevereiro de 2024, seus afiliados rapidamente migraram para novos canais de comando e controle, demonstrando resiliência e inovação. A versão 5.0 introduz técnicas avançadas de evasão e criptografia, como execução em memória e rotinas de criptografia paralela, dificultando a resposta a incidentes e a recuperação baseada em backups. Para se proteger contra essa ameaça, as organizações devem adotar uma estratégia de defesa em profundidade, que inclua segmentação de rede, controles de acesso, proteção de endpoints e servidores, segurança de hipervisores e rigor na recuperação de dados.

O SetupHijack é uma nova ferramenta de pesquisa em segurança de código aberto que explora condições de corrida e manipulação insegura de arquivos em processos de instalação do Windows para obter escalonamento de privilégios. A ferramenta monitora diretórios graváveis, como %TEMP%, %APPDATA% e %USERPROFILE%\Downloads, substituindo executáveis de instaladores por cargas úteis fornecidas pelo atacante, que são executadas com direitos elevados antes que as verificações de integridade sejam concluídas.

Os instaladores do Windows frequentemente colocam temporariamente executáveis em locais graváveis antes da execução. O SetupHijack opera no contexto de um usuário não privilegiado, escaneando continuamente esses diretórios. Quando um arquivo alvo aparece, a ferramenta rapidamente o substitui por uma carga útil personalizada, criando uma janela de corrida (TOCTOU). Se o processo privilegiado executar o arquivo sequestrado antes de verificar sua autenticidade, a carga útil do atacante é executada com privilégios de SYSTEM ou Administrador.

O ransomware BlackLock, uma ameaça sofisticada que opera em múltiplas plataformas, foi identificado como um risco significativo para organizações que utilizam sistemas Windows, Linux e VMware ESXi. Desenvolvido na linguagem Go, BlackLock possui um design modular e um modelo de Ransomware-as-a-Service (RaaS), permitindo que seus operadores personalizem ataques de acordo com as necessidades. Desde sua primeira aparição em junho de 2024, o grupo por trás do ransomware, inicialmente chamado El Dorado, rebatizou-se como BlackLock em setembro do mesmo ano. O ransomware é capaz de criptografar arquivos em diferentes sistemas, utilizando rotinas avançadas de criptografia, como o algoritmo ChaCha20, e técnicas de troca de chaves como o ECDH para proteger os metadados. Após a criptografia, o BlackLock apaga cópias de sombra e limpa a lixeira para dificultar a recuperação dos dados. O grupo tem como alvo setores variados, incluindo instituições públicas, educação, transporte e manufatura, com operações registradas nos EUA, Coreia do Sul e Japão. Dada sua capacidade de afetar ambientes críticos, as equipes de segurança devem adotar estratégias rigorosas de backup e proteção de endpoints para mitigar os riscos associados a esse ransomware.

O XillenStealer é um malware modular baseado em Python que tem se espalhado rapidamente entre cibercriminosos de baixo nível, devido à sua interface intuitiva e capacidades abrangentes de coleta de dados. Publicado no GitHub, ele utiliza funções nativas do Windows e bibliotecas de cookies de navegadores para extrair informações sensíveis, como credenciais de navegadores, carteiras de criptomoedas e tokens de sessões de mensagens. O malware é distribuído com um construtor integrado que facilita a configuração e a compilação em executáveis autônomos.

Pesquisadores de cibersegurança descobriram uma sofisticada campanha de malvertising que utiliza repositórios oficiais do GitHub para distribuir malware disfarçado como downloads do cliente GitHub Desktop. O ataque começa quando atores de ameaças ‘forkam’ repositórios legítimos do GitHub, inserindo conteúdo malicioso em arquivos README.md. Links manipulados direcionam os usuários para esses repositórios comprometidos, onde encontram uma página que parece ser a oficial do GitHub Desktop. No entanto, o link de download leva a um instalador malicioso, identificado como GitHubDesktopSetup-x64.exe, que inicia uma cadeia de execução complexa envolvendo processos legítimos do Windows para evitar a detecção. O malware utiliza técnicas de evasão sofisticadas, armazenando cargas úteis codificadas em mensagens de commit e executando scripts PowerShell maliciosos. A campanha é direcionada especificamente a sistemas Windows e demonstra como plataformas confiáveis podem ser abusadas para distribuir malware, destacando a necessidade de soluções robustas de detecção e resposta em endpoints e a importância da educação dos usuários sobre a verificação de fontes de download.

O ZynorRAT, um novo Trojan de Acesso Remoto (RAT), está gerando preocupações entre pesquisadores de segurança devido às suas capacidades multiplataforma e à infraestrutura de comando e controle (C2) furtiva. Lançado em julho de 2025, o ZynorRAT utiliza binários em Go para Linux e Windows, permitindo uma gama de funções controladas por atacantes através de um bot no Telegram. O RAT estabelece seu canal C2 por meio do Telegram, incorporando o token do bot e o identificador de chat diretamente no binário. Ao ser executado, ele consulta a API do Telegram para comandos, executando instruções reconhecidas ou revertendo para a execução de shell. Entre as funções disponíveis estão exfiltração de arquivos, listagem de diretórios e processos, captura de tela e instalação de persistência. O ZynorRAT também demonstra um desenvolvimento ativo, com uma redução nas taxas de detecção em uploads sucessivos ao VirusTotal. A detecção e mitigação são possíveis através de regras específicas e assinaturas YARA, com recomendações para monitoramento contínuo e auditoria de diretórios de serviços de usuário. Dada a sua evolução e potencial de exploração, as organizações devem atualizar suas regras de detecção e reforçar controles de saída de rede.

Pesquisadores de cibersegurança identificaram duas novas famílias de malware: CHILLYHELL, um backdoor modular para macOS, e ZynorRAT, um trojan de acesso remoto (RAT) baseado em Go que ataca sistemas Windows e Linux. O CHILLYHELL, atribuído ao grupo de hackers UNC4487, é projetado para arquiteturas Intel e foi descoberto em uma amostra enviada ao VirusTotal em maio de 2025. Este malware se destaca por suas múltiplas técnicas de persistência e pela capacidade de modificar timestamps para evitar detecções. Ele se comunica com servidores de comando e controle (C2) e pode executar uma variedade de comandos, incluindo a coleta de informações do sistema e ataques de força bruta. Por outro lado, o ZynorRAT utiliza um bot do Telegram para gerenciar máquinas infectadas, permitindo exfiltração de arquivos e execução de comandos arbitrários. Embora o ZynorRAT tenha sido submetido ao VirusTotal em julho de 2025, ele ainda está em desenvolvimento, especialmente na versão para Windows. Ambas as ameaças ressaltam a evolução das técnicas de malware, exigindo atenção redobrada de profissionais de segurança da informação.

Uma nova campanha de cibersegurança identificada pela Darktrace revela um sofisticado malware de criptomineração que utiliza o mapa de caracteres do Windows para se infiltrar em sistemas. Conhecido como cryptojacking, esse tipo de ataque utiliza o poder de processamento dos computadores para minerar criptomoedas em benefício dos hackers. A análise foi conduzida pelas especialistas Keanna Grelicha e Tara Gould, que detectaram um comportamento anômalo em um cliente, indicando a presença de um novo agente PowerShell. O malware, denominado NBMiner, foi introduzido através de um loader Autolt ofuscado, que se disfarça sob camadas de código para evitar a detecção. O ataque se inicia com a execução do programa ‘charmap.exe’, que verifica se ferramentas de segurança estão ativas antes de se conectar a um pool de mineração. Embora inicialmente cause aumento no consumo de energia e lentidão do sistema, o cryptojacking pode levar a problemas mais sérios, como roubo de dados pessoais. A Darktrace conseguiu mitigar a ameaça ao bloquear a conexão do dispositivo infectado com os servidores dos hackers, destacando a importância de medidas de segurança eficazes.

Pesquisadores de segurança revelaram uma vulnerabilidade de estouro de buffer baseada em heap no Driver de Serviço WOW Thunk de Streaming do Kernel do Windows, identificado como CVE-2025-53149. A falha, localizada no componente ksthunk.sys, foi divulgada de forma responsável à Microsoft, que já lançou um patch para corrigir a vulnerabilidade. Essa falha crítica permite que atacantes executem código arbitrário com privilégios elevados por meio de solicitações IOCTL (Input/Output Control) maliciosas. A vulnerabilidade se origina na função CKSAutomationThunk::HandleArrayProperty(), que não valida corretamente os tamanhos dos buffers de saída durante operações de recuperação de propriedades de dispositivos multimídia. O problema ocorre quando o código não verifica adequadamente o comprimento do buffer de saída em relação ao tamanho real dos dados retornados, resultando em uma condição de estouro de buffer. Para explorar essa vulnerabilidade, os atacantes precisam criar solicitações IOCTL direcionadas a dispositivos multimídia que implementam os manipuladores de propriedades afetados. A Microsoft implementou validações adicionais no código para mitigar o risco de exploração. Organizações que utilizam sistemas Windows com hardware multimídia especializado devem priorizar a aplicação das atualizações de segurança de agosto de 2025 para evitar riscos de exploração associados a essa vulnerabilidade.

O grupo de ransomware Dire Wolf, que surgiu em maio de 2025, rapidamente se tornou uma ameaça significativa à cibersegurança, atacando organizações em diversas indústrias e regiões. Desde seu primeiro ataque, que resultou na divulgação de seis vítimas em um site da darknet, o grupo tem utilizado uma estratégia de dupla extorsão, combinando a criptografia de dados com ameaças de vazamento de informações.

A técnica de criptografia do Dire Wolf é sofisticada, utilizando algoritmos como Curve25519 e ChaCha20, o que torna a recuperação de dados extremamente difícil. O ransomware não utiliza arquivos de configuração tradicionais, mas sim argumentos de linha de comando para controle, e implementa um sistema de mutex para evitar execuções múltiplas. Além disso, o malware apaga cópias de sombra e interrompe serviços essenciais, eliminando opções de recuperação.

Em agosto de 2025, a empresa de cibersegurança Cyfirma identificou o Inf0s3c Stealer, um malware baseado em Python que visa sistemas Windows e exfiltra dados através do Discord. O malware, um executável portátil de 64 bits, utiliza técnicas de empacotamento duplo com UPX e PyInstaller, dificultando a detecção por assinaturas e a engenharia reversa. Ao ser executado, ele coleta informações do sistema, como detalhes de hardware e parâmetros de rede, e realiza capturas de tela e imagens da webcam, se autorizado. A fase final do ataque foca no roubo de credenciais, extraindo dados de perfis de navegadores e senhas de Wi-Fi. Os dados coletados são organizados em pastas e enviados para um webhook malicioso no Discord, disfarçado em tráfego HTTPS legítimo. Para persistência, o malware se copia na pasta de Inicialização do Windows e pode desativar serviços antivírus. Para mitigar essa ameaça, recomenda-se a implementação de proteção de endpoint baseada em comportamento, filtragem de saída rigorosa e monitoramento de atividades suspeitas. A situação exige atenção, especialmente para organizações que utilizam o Discord e outras plataformas afetadas.

O grupo de cibercriminosos conhecido como Silver Fox tem utilizado um driver vulnerável, o “amsdk.sys”, associado ao WatchDog Anti-malware, em um ataque do tipo Bring Your Own Vulnerable Driver (BYOVD). Este driver, que é um dispositivo do kernel do Windows assinado pela Microsoft, apresenta falhas que permitem a desativação de soluções de segurança em sistemas comprometidos. A campanha, identificada pela Check Point, visa neutralizar produtos de proteção de endpoint, facilitando a instalação de malware sem acionar defesas baseadas em assinatura.

Uma operação de espionagem cibernética sofisticada, conhecida como Operação HanKook Phantom, expôs usuários do Windows na Ásia e no Oriente Médio a uma ameaça avançada que utiliza PDFs e arquivos de atalho do Windows (LNK) como principais vetores de infecção. A campanha, descoberta por pesquisadores do Seqrite Lab, está ligada ao grupo patrocinado pelo Estado norte-coreano APT-37, famoso por ataques de spear-phishing. Os alvos incluem organizações governamentais, de defesa e acadêmicas, que recebem arquivos que aparentam ser boletins informativos legítimos, mas que contêm arquivos LNK maliciosos. Quando executados, esses arquivos não apenas abrem documentos, mas também extraem e executam cargas úteis maliciosas através do PowerShell. A operação se destaca pelo uso inovador de serviços de nuvem populares para comunicação de comando e controle, disfarçando o tráfego de exfiltração de dados como uploads normais de PDF. Essa abordagem minimiza a detecção por antivírus tradicionais e destaca a necessidade de monitoramento avançado por parte das organizações, especialmente em relação à atividade de arquivos LNK e tráfego anômalo em serviços de nuvem.

A Docker lançou correções para uma vulnerabilidade crítica no aplicativo Docker Desktop para Windows e macOS, identificada como CVE-2025-9074, com um CVSS de 9.3. Essa falha permite que um container malicioso acesse o Docker Engine e crie novos containers sem a necessidade de montar o socket do Docker, o que pode resultar em acesso não autorizado a arquivos do sistema host. O problema reside na falta de autenticação para conexões ao Docker Engine API, permitindo que um container privilegiado tenha acesso total ao sistema subjacente. Um ataque de prova de conceito demonstrou que um simples pedido HTTP poderia comprometer completamente o host. No Windows, um atacante pode montar o sistema de arquivos inteiro e acessar arquivos sensíveis, enquanto no macOS, a aplicação possui uma camada de isolamento que requer permissão do usuário para acessar diretórios. A versão Linux do Docker não é afetada, pois utiliza um pipe nomeado em vez de um socket TCP. A vulnerabilidade pode ser explorada por meio de containers maliciosos ou por meio de uma falha de solicitação do lado do servidor (SSRF).

Recentemente, a Microsoft Threat Intelligence relatou um aumento significativo em ataques de engenharia social conhecidos como ClickFix, que visam usuários de Windows e Mac em todo o mundo. Esses ataques exploram a tendência dos usuários de resolver problemas técnicos menores, enganando-os para que executem comandos maliciosos disfarçados de etapas legítimas de solução de problemas. O ciclo típico de um ataque ClickFix começa com e-mails de phishing ou anúncios maliciosos que redirecionam os usuários para páginas de captura que imitam serviços confiáveis, como Google reCAPTCHA.