< Back
Malicious hacker in front of a screen

Tags:

Threat intelligence
05 Junho 2025

Resumo semanal dos ciberataques 05-11 de junho

FIN6 usa ofertas de emprego falsas para descarregar malware da cloud

O grupo de ameaças FIN6, também conhecido como Skeleton Spider, intensificou a sua atividade criminosa através de campanhas de phishing direcionadas a recrutadores, fingindo ser candidatos a empregos em plataformas como LinkedIn ou Indeed. Esses agentes de ameaças usam domínios que imitam nomes reais para enviar e-mails com links disfarçados de currículos. Para contornar os filtros de segurança automatizados, as mensagens não contêm hiperligações clicáveis, mas sim endereços web que os destinatários devem copiar e escrever manualmente no navegador. Depois de ultrapassar barreiras como CAPTCHAs e filtros de IP e sistema operativo, as vítimas acedem a sites alojados em infraestruturas fiáveis como a AWS, que descarregam um ficheiro ZIP com um malware oculto: more_eggs. Este malware, que permite o roubo de credenciais e ataques adicionais, é distribuído por meio de ficheiros .LNK disfarçados e técnicas que dificultam a sua deteção. O FIN6 aproveita serviços na cloud, anonimato no registo de domínios e métodos evasivos para manter a sua infraestrutura ativa e evitar análises de segurança. Os investigadores alertam para a necessidade de reforçar os controlos técnicos e formar o pessoal de RH para evitar este tipo de ataques.

O NHS lança um apelo urgente para doações de sangue após um ciberataque

O Serviço Nacional de Saúde britânico (NHS) lançou um apelo urgente para que um milhão de pessoas em Inglaterra doem sangue esta semana, uma vez que as reservas continuam baixas após um ciberataque sofrido no ano passado. Apenas 2% da população mantém atualmente os níveis de sangue necessários, e há um alerta para o risco de atingir um alerta vermelho, o que significaria que a procura excederia a capacidade de fornecimento, colocando em risco a segurança pública. A situação foi agravada por um ataque de ransomware, que interrompeu os serviços de patologia e obrigou os hospitais a recorrer com mais frequência ao sangue tipo O, o mais seguro para transfusões de emergência. Isto deixou as reservas nacionais numa situação muito frágil. Além disso, muitos dos mais de 900 000 pacientes afetados ainda não foram informados sobre quais dados pessoais foram expostos, incluindo detalhes altamente sensíveis sobre doenças graves.

OpenAI bloqueia contas do ChatGPT utilizadas por hackers da Rússia, China e Irão

A OpenAI suspendeu contas do ChatGPT utilizadas por agentes maliciosos da Rússia, China e Irão que usavam inteligência artificial para apoiar atividades ilegais. Entre elas estão o desenvolvimento de malware, a automatização de redes sociais e a recolha de informações sobre tecnologias de comunicação por satélite dos EUA. Um dos grupos russos, através de várias contas descartáveis, aperfeiçoou malware na linguagem de programação Go para depois disseminá-lo disfarçado como uma ferramenta legítima para videojogos. O código roubava dados do navegador e evadia sistemas de defesa. Dois grupos chineses, APT5 e APT15, usaram o modelo para tarefas como administração de sistemas Linux, desenvolvimento de software, ataques de brute force a servidores FTP e manipulação automatizada de redes sociais. Também foram detetadas operações ligadas à Coreia do Norte, Filipinas, Camboja e Irão, que usaram o ChatGPT para campanhas de desinformação e fraudes em vários idiomas. A OpenAI sublinhou que nenhuma destas atividades foi massiva, mas demonstra o potencial abuso da IA por parte de agentes maliciosos.

Foi detetado um ataque sofisticado a iPhones de alto perfil nos EUA e na Europa

Investigadores de cibersegurança descobriram evidências da exploração de uma vulnerabilidade crítica em iPhones através de ataques zero-click no iMessage, direcionados a indivíduos ligados a campanhas políticas, meios de comunicação, governos e empresas de inteligência artificial nos EUA e na União Europeia. A vulnerabilidade, batizada de “NICKNAME”, afetava o processo “imagent” do sistema operativo iOS e foi corrigida pela Apple na versão 18.3.1. Embora não seja possível confirmar com certeza a exploração, os investigadores detetaram padrões de comportamento anómalos, como bloqueios extremamente raros e eliminação em massa de ficheiros, em seis dispositivos pertencentes a alvos de alto valor. Dois deles mostraram sinais claros de terem sido comprometidos. A investigação sugere que a ameaça persiste e sublinha a necessidade de reforçar a segurança móvel, mesmo em plataformas consideradas seguras.

Foi detetada uma nova variante do Chaos RAT, um software legítimo convertido em ferramenta de ciberataques

Investigadores descobriram novas variantes do malware Chaos RAT, uma ferramenta de administração remota de código aberto escrita em Go, que foi reutilizada por cibercriminosos para espiar, roubar informações e preparar ataques com ransomware. Embora seu uso ainda seja limitado, o seu baixo índice de deteção e compatibilidade com sistemas Windows e Linux tornam-no uma ameaça sigilosa. Um dos ataques mais recentes enganava as vítimas para que descarregassem um falso utilitário de diagnóstico de rede no Linux. Além disso, foi identificada uma vulnerabilidade crítica no painel de controlo do próprio Chaos RAT, que permite a execução remota de código, e foi até explorada numa demonstração que tocou a música “Never Gonna Give You Up”. Esta situação ilustra como o software de código aberto, embora legítimo, pode tornar-se um perigo quando cai nas mãos erradas.