< Back
Red padlock on grey background

Tags:

Threat intelligence
15 Maio 2025

Resumo semanal dos Ciberataques 15-21 de maio

Detetado um novo infostealer que rouba dados através do Telegram: PupkinStealer

Investigadores de cibersegurança identificaram um novo malware chamado PupkinStealer, um infostealer desenvolvido em .NET que rouba passwords de navegadores, arquivos da área de trabalho e sessões de aplicações como Telegram e Discord. Este malware, que não deixa vestígios persistentes no sistema e executa o roubo em poucos segundos, exfiltra os dados através da API do Telegram, ocultando a sua atividade sob tráfego web encriptado. Embora não apresente uma complexidade técnica elevada, o seu impacto é significativo: permite que atacantes com pouca experiência roubem credenciais armazenadas e acedam a contas ativas sem necessidade de palavras-passe. O seu design é baseado em código aberto de malware anterior, e tudo indica que ele vem de ambientes de língua russa, com sinais claros de atribuição ao pseudónimo “Ardent”. Ele é distribuído por meio de engenharia social, como software pirata, e já foi usado para coletar milhares de credenciais em todo o mundo.

Cibercriminosos usam o malware Skitnet para roubar dados e manter controlo remoto

Grupos de ransomware começaram a usar o malware Skitnet nos seus ataques para roubar dados confidenciais e manter acesso remoto a sistemas comprometidos. Desde o início de 2025, atores como Black Basta o têm usado em campanhas de phishing direcionadas a ambientes empresariais, aproveitando sua arquitetura sigilosa e flexível. Também conhecido como Bossnet, o Skitnet é uma ameaça em várias etapas desenvolvida pelo grupo LARVA-306. Usa linguagens como Rust e Nim para executar conexões de shell reverso por meio de DNS, evitando ser detetado pelos sistemas de segurança. O malware integra mecanismos de persistência, ferramentas de acesso remoto, comandos de exfiltração de dados e pode descarregar mais payloads. O seu design avançado e o uso de técnicas de encriptação tornam-no numa ferramenta perigosa dentro do ecossistema do ransomware.

Ciberataque desvia salários após falsificar portais de login para dispositivos móveis

Uma investigação revelou um sofisticado ciberataque de poisoning por SEO direcionado a dispositivos móveis, no qual cibercriminosos criaram portais de login falsos para roubar credenciais de funcionários e aceder a sistemas de folha de pagamento. Através de páginas fraudulentas que apareciam nos primeiros resultados da pesquisa, os atacantes capturaram dados de acesso e modificaram as informações de depósito direto para desviar salários para contas controladas por eles. Para evitar a deteção, utilizaram redes móveis e routers domésticos comprometidos, juntamente com ferramentas legítimas como o Pusher, que os notificavam em tempo real sobre novas credenciais roubadas. Esta campanha, que afeta especialmente dispositivos fora do perímetro corporativo, representa uma ameaça crescente devido à dificuldade de rastrear acessos a partir de endereços IP.

Phishing direcionado através de sites confiáveis e validação em real time

Os investigadores da Keep Aware observaram um ataque sofisticado de phishing que utilizava domínios legítimos, validação precisa de e-mail e táticas evasivas para roubar credenciais através de interações baseadas no navegador. Um domínio comprometido há 9 anos hospedava uma página de login falsa disfarçada de portal de documentos, que preenchia previamente os endereços de e-mail das vítimas usando fragmentos de URL. Se os utilizadores introduzissem os seus endereços de e-mail manualmente, eram redirecionados para domínios maliciosos e os seus dados eram enviados para uma API para validação em tempo real. Dependendo do tipo de e-mail (pessoal, corporativo genérico ou direcionado), o site exibia páginas em branco, páginas genéricas de início de sessão da Microsoft ou portais falsos personalizados com a marca. Outras táticas de evasão incluíam JavaScript anti-análise e CAPTCHAs. Esses ataques destacam a crescente sofisticação do phishing e a necessidade de deteção e proteção em tempo real no navegador, uma vez que os filtros de e-mail tradicionais não conseguem detetar ameaças tão dinâmicas. A Keep Aware recomenda proteções em tempo real nos navegadores para detetar e bloquear páginas de phishing antes que as credenciais dos utilizadores sejam comprometidas.

Campanha global de ciberespionagem compromete e-mails do governo através de vulnerabilidades XSS

Uma campanha de ciberespionagem batizada de RoundPress comprometeu servidores de e-mail de governos e organizações críticas em todo o mundo. O ataque, atribuído com média confiança ao grupo russo APT28, começou em 2023 e continuou em 2024, explorando vulnerabilidades conhecidas e desconhecidas (zero-day e n-day) em plataformas como Roundcube, Horde, MDaemon e Zimbra. A técnica utilizada requer apenas que a vítima abra um e-mail malicioso, o que ativa um código JavaScript que rouba credenciais, mensagens, contactos e configurações sem necessidade de cliques ou downloads. O ataque baseia-se em vulnerabilidades XSS, permitindo a execução do script diretamente na sessão do navegador. Embora não tenha sido detetada atividade do RoundPress em 2025, os especialistas alertam que o método continua em vigor devido ao aparecimento contínuo de vulnerabilidades semelhantes.