Resumo Semanal dos Ciberataques | 22-28 maio
Ataque com ransomware DragonForce compromete fornecedor de serviços geridos
Um grupo cibercriminoso utilizou o ransomware DragonForce para atacar um fornecedor de serviços geridos (MSP) explorando vulnerabilidades na ferramenta de gestão remota SimpleHelp. Os atacantes acederam a várias organizações através do sistema RMM do MSP, implementando o ransomware e roubando dados sensíveis como parte de uma estratégia de dupla extorsão. De acordo com os investigadores, é provável que tenham aproveitado vulnerabilidades identificadas em janeiro de 2025 (CVE-2024-57726, CVE-2024-57727 e CVE-2024-57728). A DragonForce, que opera sob um modelo de Ransomware-as-a-Service, ganhou notoriedade por suas ligações com afiliados conhecidos como Scattered Spider. O ataque foi detetado quando um ficheiro do software SimpleHelp foi instalado de forma suspeita através de uma instância legítima operada pelo MSP.
Aumentam os ciberataques com MSHTA e técnicas de ofuscação para roubar credenciais
Uma análise recente revelou um aumento no uso malicioso do mshta.exe, uma ferramenta legítima do Windows que tem sido aproveitada para executar scripts remotos ocultos por camadas de ofuscação. Embora o ataque tenha sido mitigado antes que o código malicioso fosse executado completamente, ele permitiu rastrear uma cadeia de infeção complexa que incluía VBScript, PowerShell e várias transformações, como codificação em Base64, XOR e hexadecimal. O ficheiro descarregado fingia ser um ficheiro multimédia inofensivo, mas continha um infostealer projetado para roubar credenciais de navegadores, clientes FTP e carteiras de criptomoedas. A investigação revelou técnicas avançadas de evasão, como o uso de nomes de variáveis aleatórios. Este caso destaca a importância de analisar completamente os alertas, mesmo quando a tentativa de ataque não é concluída, para detetar infraestruturas maliciosas e melhorar a resposta a ameaças futuras.
Detetado um novo malware que utiliza o ALCATRAZ para evitar a sua análise
Investigadores de cibersegurança analisaram uma nova família de malware chamada DOUBLELOADER, observada juntamente com o infostealer RHADAMANTHYS. Este malware utiliza o ofuscator de código aberto ALCATRAZ, originalmente desenvolvido na comunidade de hacks para videojogos e agora também utilizado no cibercrime. O DOUBLELOADER aproveita as funções do sistema Windows para executar código malicioso dentro do processo explorer.exe, recolhendo informações do sistema e comunicando-se com um IP codificado. O ALCATRAZ complica a análise através de técnicas como ofuscação do ponto de entrada, mutação de instruções, ocultação de constantes e control flow flattening. Estas técnicas dificultam o trabalho dos analistas, pois interrompem a descompilação e exigem intervenções manuais. Os investigadores publicaram ferramentas para ajudar a desofuscar binários protegidos pelo ALCATRAZ, facilitando seu estudo e mitigação em ambientes de segurança.
Cibercriminosos roubam criptomoedas de utilizadores de Mac com aplicações falsas da Ledger
Uma série de campanhas maliciosas está a afetar utilizadores do macOS através de aplicações falsas que simulam ser o software oficial da Ledger, uma reconhecida carteira de criptomoedas em cold storage. Essas aplicações fraudulentos são projetadoas para enganar os utilizadores e fazê-los inserir a sua seed phrase, uma combinação de 12 ou 24 palavras que permite recuperar o acesso aos ativos digitais. Os ataques começaram em agosto de 2024 e evoluíram para incluir um malware chamado “Odyssey”, que substitui o aplicativo legítimo Ledger Live e inclui uma página de phishing com mensagens de erro falsas. Os especialistas lembram que a seed phrase só deve ser inserida no dispositivo físico da Ledger, nunca em aplicações ou páginas web.
DragonForce intensifica a sua ofensiva e desencadeia uma guerra entre grupos de ransomware
O grupo cibercriminoso DragonForce intensificou a sua atividade em 2025, não só atacando infraestruturas informáticas e ambientes virtualizados, mas também enfrentando abertamente outros grupos de ransomware. Após relançar-se em março como um «cartel», o DragonForce adotou um modelo de afiliados mais flexível para atrair colaboradores e consolidar a sua presença no ecossistema do cibercrime. Além de se passar por marcas rivais como BlackLock e Mamona, ele protagonizou conflitos com o grupo RansomHub, que tentou absorver à força. O DragonForce foi associado ao grupo GOLD HARVEST (também conhecido como Scattered Spider), responsável por sofisticadas campanhas de engenharia social e pelo recente ciberataque à rede britânica Marks and Spencer. Estes ataques evidenciaram a crescente ameaça que representam as alianças entre grupos criminosos descentralizados e a necessidade urgente de as empresas reforçarem as suas defesas técnicas e humanas face a métodos cada vez mais coordenados.