< Back
Padlock with abstrack background

Tags:

Threat intelligence
29 Maio 2025

Resumo dos ciberataques 29 de maio a 4 de junho

Crocodilus, o novo malware bancário que se espalha pela Europa e América

O trojan bancário para Android conhecido como Crocodilus evoluiu rapidamente desde a sua descoberta em março de 2025. Inicialmente limitado a campanhas de teste na Turquia, agora foi detetado em vários países europeus, como Espanha e Polónia, bem como na América do Sul, incluindo Argentina e Brasil. As últimas investigações mostram que está a atacar quase todos os bancos espanhóis, o que indica uma campanha especificamente direcionada ao país. O malware usa anúncios maliciosos em redes sociais como o Facebook para enganar os utilizadores e passar por aplicações de bancos, casinos ou atualizações de navegadores. Entre as suas novidades, o Crocodilus pode adicionar contactos falsos ao dispositivo infetado (como um suposto «Suporte do Banco») para facilitar fraudes por engenharia social. Além disso, incorpora melhorias técnicas para evitar a sua deteção, como encriptação avançada e ofuscação de código.

Campanha massiva de criptojacking explora ferramentas DevOps mal configuradas 

Investigadores de cibersegurança detetaram uma campanha global de criptojacking direcionada contra aplicações DevOps como Nomad, Consul, Docker e Gitea. O grupo responsável, identificado como JINX-0132, aproveita-se de configurações inseguras para implementar software de mineração de criptomoedas sem a necessidade de malware personalizado ou servidores próprios, utilizando versões públicas do minerador XMRig e repositórios do GitHub. O ataque destaca-se pela sua abordagem de “viver do código aberto”, dificultando a sua deteção. No caso do Nomad, é a primeira vez que a sua exploração em ataques reais é documentada. O JINX-0132 aproveita a possibilidade de executar código remoto por meio de APIs públicas sem autenticação, afetando até mesmo servidores de alto desempenho. De acordo com os investigadores, 25% dos ambientes cloud usam essas ferramentas e 30% dos que estão expostos na Internet apresentam falhas de configuração.

Descobrem novo malware que rouba dados através de páginas CAPTCHA falsas 

Crocodilus, o novo malware bancário que se espalha pela Europa e América

O trojan bancário para Android conhecido como Crocodilus evoluiu rapidamente desde a sua descoberta em março de 2025. Inicialmente limitado a campanhas de teste na Turquia, agora foi detetado em vários países europeus, como Espanha e Polónia, bem como na América do Sul, incluindo Argentina e Brasil. As últimas investigações mostram que está a atacar quase todos os bancos espanhóis, o que indica uma campanha especificamente direcionada ao país. O malware usa anúncios maliciosos em redes sociais como o Facebook para enganar os utilizadores e passar por aplicações de bancos, casinos ou atualizações de navegadores. Entre as suas novidades, o Crocodilus pode adicionar contactos falsos ao dispositivo infetado (como um suposto «Suporte do Banco») para facilitar fraudes por engenharia social. Além disso, incorpora melhorias técnicas para evitar a sua deteção, como encriptação avançada e ofuscação de código.

Campanha massiva de criptojacking explora ferramentas DevOps mal configuradas 

Investigadores de cibersegurança detetaram uma campanha global de criptojacking direcionada contra aplicações DevOps como Nomad, Consul, Docker e Gitea. O grupo responsável, identificado como JINX-0132, aproveita-se de configurações inseguras para implementar software de mineração de criptomoedas sem a necessidade de malware personalizado ou servidores próprios, utilizando versões públicas do minerador XMRig e repositórios do GitHub. O ataque destaca-se pela sua abordagem de “viver do código aberto”, dificultando a sua deteção. No caso do Nomad, é a primeira vez que a sua exploração em ataques reais é documentada. O JINX-0132 aproveita a possibilidade de executar código remoto por meio de APIs públicas sem autenticação, afetando até mesmo servidores de alto desempenho. De acordo com os investigadores, 25% dos ambientes cloud usam essas ferramentas e 30% dos que estão expostos na Internet apresentam falhas de configuração.

Descobrem novo malware que rouba dados através de páginas CAPTCHA falsas 

Investigadores de cibersegurança identificaram um novo malware chamado EDDIESTEALER, um infostealer desenvolvido em Rust que se propaga através de campanhas com CAPTCHA falsos. Os utilizadores são enganados por páginas que simulam verificações do tipo «Não sou um robô», que copiam comandos maliciosos para a área de transferência para executar código no PowerShell e descarregar o malware. O EDDIESTEALER rouba credenciais, dados de navegadores e carteiras de criptomoedas, entre outros, principalmente em sistemas Windows. O malware se destaca pela sua sofisticação técnica: encripta cadeias usando XOR, oculta chamadas para a API do Windows, auto elimina-se usando fluxos alternativos de NTFS e usa técnicas avançadas para evitar ambientes de análise. Além disso, recolhe e transmite informações do sistema para um servidor de comando e controlo (C2), adaptando o seu comportamento de acordo com o ambiente do utilizador. Foram detectadas variantes recentes com capacidades ampliadas, como roubo de senhas de navegadores usando WebSocket e DevTools. O uso da linguagem Rust complica a sua análise e marca uma tendência crescente no desenvolvimento de malware moderno.

Malware oculto em installers falsos de ferramentas de inteligência artificial 

Investigadores de cibersegurança detetaram uma nova onda de ciberameaças que se fazem passar por installers de ferramentas de inteligência artificial (IA). Entre elas destacam-se os ransomwares CyberLock e Lucky_Gh0$t, bem como um malware destrutivo recentemente identificado, denominado Numero. Estas ameaças camuflam-se como aplicações legítimas de IA, explorando o boom destas tecnologias em setores como vendas, tecnologia e marketing. O CyberLock, desenvolvido em PowerShell, encripta ficheiros e solicita resgates em Monero, alegando falsamente que serão destinados à ajuda humanitária. O Lucky_Gh0$t, variante do ransomware Yashma, é distribuído como um suposto installer do ChatGPT, enquanto o Numero inutiliza sistemas manipulando a interface gráfica do Windows após se passar por uma ferramenta de criação de vídeos com IA. Os atacantes utilizam técnicas como posicionamento enganoso em motores de busca (SEO poisoning), redes sociais e plataformas como o Telegram para distribuir esses ficheiros maliciosos. As organizações correm o risco de comprometer dados confidenciais se descarregarem essas ferramentas falsas, o que reforça a necessidade de verificar cuidadosamente as fontes e optar apenas por fornecedores confiáveis.

Descobrem PumaBot, uma botnet que ataca dispositivos de vigilância IoT

Investigadores de cibersegurança identificaram uma nova botnet chamada PumaBot, desenvolvida em Go e concebida para atacar dispositivos IoT baseados em Linux, especialmente câmaras de vigilância. Ao contrário de outras ameaças, o PumaBot não realiza scannings massivos, mas recebe alvos específicos de um servidor de comando e controlo (C2) e acede através de brute force e SSH. Uma vez dentro do sistema, executa comandos remotos, disfarça-se como um ficheiro legítimo do sistema e cria serviços persistentes para manter o controlo do dispositivo. Além disso, insere as suas próprias chaves SSH para acesso contínuo e implementa ferramentas adicionais como “networkxm” e “ddaemon” para expandir as suas capacidades e garantir a sua sobrevivência. Substitui até componentes-chave do sistema, como o PAM, para intercetar credenciais de acesso.