< Back
A Trojan Horse 2.0

Tags:

Threat intelligence
24 Julho 2025

Resumo semanal dos ciberataques de 24 a 30 de julho

O grupo de ransomware Gunra apresenta uma variante eficaz para Linux

De acordo com informações datadas de 29 de julho de 2025, uma variante para Linux do ransomware Gunra recentemente descoberta amplia significativamente as capacidades multiplataforma do grupo de ameaças, marcando uma expansão estratégica além do seu objetivo original de sistemas Windows. Observado pela primeira vez em abril de 2025, o ransomware Gunra já afetou organizações em vários países, como Brasil, Japão, Canadá, Turquia, Coreia do Sul, Taiwan e Estados Unidos, afetando setores como saúde, manufatura, IT, agricultura, setor jurídico e consultoria. A variante para Linux apresenta funcionalidades avançadas que enfatizam a velocidade, a configurabilidade e a ocultação. Suporta até 100 subprocessos de encriptação simultâneos, o que ultrapassa em muito a capacidade de outros ransomware como o BERT, que está limitado a 50. Isto permite ao Gunra realizar encriptações de alta velocidade com um número de threads ajustável de acordo com os parâmetros fornecidos pelo atacante. Ao contrário do seu homólogo Windows, esta variante Linux não deixa uma nota de resgate, concentrando-se puramente na encriptação sigilosa e configurável. Os ficheiros encriptados são renomeados com a extensão .ENCRT e não são realizadas comunicações ou pedidos diretos no sistema infetado. Isto sugere uma estratégia em que a negociação do resgate e a extorsão podem ocorrer através de outros canais, como sites de divulgação. A inteligência sobre ameaças da Trend relaciona as atividades do Gunra com as técnicas de ransomware Conti observadas anteriormente. O grupo supostamente roubou 40 terabytes de dados de um hospital em Dubai em maio de 2025 e, até agora, reivindicou 14 vítimas no seu site de data leaks. Entre elas estão organizações governamentais e empresas de setores de infraestruturas crítica, como saúde e transportes.

ToxicPanda: o trojan bancário para Android que visa a Europa

De acordo com informações datadas de 28 de julho de 2025, um malware bancário para Android em rápida evolução chamado ToxicPanda foi identificado como uma ameaça crescente em toda a Europa, especialmente em Portugal e Espanha, depois de ter atacado inicialmente o sudeste asiático e a Itália. O ToxicPanda é um sofisticado trojan bancário projetado para roubar credenciais, contornar a autenticação de dois fatores e realizar transações não autorizadas através do abuso das funções de acessibilidade do Android. O malware usa sobreposições de phishing que imitam aplicações bancárias reais e captura dados confidenciais por meio de WebViews de design personalizado, permitindo o controlo total dos dispositivos infetados através de autorizações de acessibilidade. Em 2025, as infeções atingiram 4500 dispositivos no seu pico, com 3000 em Portugal e 1000 em Espanha, que em conjunto representam mais de 85% das infeções globais observadas. Os dispositivos Samsung, Xiaomi e Oppo (especialmente as séries de gama média como Galaxy A e Redmi) constituem a maioria dos casos, embora também tenham sido comprometidos modelos mais recentes, como o S23 da Samsung. Os atacantes ampliaram as capacidades do malware integrando um Algoritmo de Geração de Domínios (DGA), desenvolvendo medidas anti-emulação e anti-análise e utilizando um sofisticado Sistema de Distribuição de Tráfego (TDS) conhecido como TAG-124, uma infraestrutura partilhada ligada a várias famílias de malware. O TDS redireciona o tráfego através de domínios maliciosos e comprometidos, enganando os utilizadores com falsas páginas de atualização do Chrome e iscas baseadas em ReCaptcha para entregar APKs infetados. Uma vez instalado, o ToxicPanda rouba a interface do utilizador do Android através de serviços de acessibilidade, exibe sobreposições falsas para mais de 39 aplicações bancárias e sobrepõe bloqueios de PIN/padrão para capturar a entrada do utilizador. Há indícios no código-fonte do malware que apontam para a sua origem chinesa, incluindo cadeias residuais em mandarim. A evolução do conjunto de ferramentas e da infraestrutura, juntamente com a plataforma de distribuição de malware partilhada do TAG-124, sugerem claramente que o ToxicPanda não é uma campanha isolada.

Os hackers utilizam ficheiros .HTA para infetar as suas vítimas com o ransomware Red

A equipa TRIAD da CloudSEK descobriu uma campanha global em curso que aproveita o ransomware Epsilon Red. Os agentes de ameaças estão a explorar páginas falsas de verificação ClickFix para atrair os utilizadores a executar ficheiros .HTA através de controlos ActiveX, o que resulta no download silencioso e na execução de cargas úteis de ransomware. Esta campanha, que está ativa pelo menos desde julho de 2025, emprega táticas de engenharia social que imitam plataformas conhecidas, como Discord, Twitch, Kick, OnlyFans e serviços de encontros, para aumentar a credibilidade e enganar as vítimas. Essa campanha redireciona os utilizadores para uma página secundária onde são executados comandos shell silenciosamente através de objetos ActiveX, como WScript.Shell. Uma vez ativado, o script descarrega e executa um binário malicioso da infraestrutura do atacante. Essa payload está associada ao ransomware Epsilon Red, que encripta os ficheiros da vítima. Além disso, a infraestrutura do atacante inclui domínios que se fazem passar por marcas confiáveis para reduzir as suspeitas. O método de entrega do malware aproveita as tecnologias de sequência de comandos herdadas do Windows (ActiveX e WSH), permitindo a execução de comandos diretamente do navegador e contornando as proteções padrão. São utilizadas mensagens de verificação falsas e erros ortográficos amadores para que o ataque pareça menos ameaçador, aumentando assim a probabilidade de o utilizador aceder. Os autores da ameaça parecem manter uma infraestrutura temática persistente, o que indica um planeamento operacional a longo prazo.

Sites de ransomware BlackSuit apreendidos na operação Checkmate

Os sites de extorsão da dark web da operação de ransomware BlackSuit, que atacou as redes de centenas de organizações em todo o mundo nos últimos anos, foram apreendidos pelas autoridades. Os sites apreendidos incluem blogs de data leaks da dark web e sites de negociação usados para extorquir as vítimas e forçá-las a pagar um resgate. O encerramento foi confirmado pelo Departamento de Justiça dos Estados Unidos e fez parte de uma investigação internacional conjunta chamada Operação Checkmate. A Operação Checkmate contou com a participação de outras autoridades policiais, como o Serviço Secreto dos Estados Unidos, a Polícia Nacional dos Países Baixos, o Departamento de Polícia Criminal da Alemanha, a Agência Nacional contra o Crime do Reino Unido, a Procuradoria-Geral de Frankfurt, o Departamento de Justiça, a Polícia Cibernética da Ucrânia, a Europol e outras. Segundo informações, outros investigadores encontraram provas que sugerem que o grupo de ransomware BlackSuit provavelmente mudará novamente de nome e passará a chamar-se Chaos.

Pacote NPM comprometido num ataque à cadeia de abastecimento

O pacote NPM “is” foi comprometido num ataque à cadeia de abastecimento, dando aos atacantes acesso total aos dispositivos comprometidos. O pacote “is” é uma biblioteca de utilitizadores JavaScript que fornece uma ampla variedade de funções de verificação de tipos e validação de valores. O pacote foi descarregado mais de 2,8 milhões de vezes por semana e foi comprometido num ataque à cadeia de abastecimento num ataque de phishing com o domínio falso (npnjs[.]com). A campanha de phishing resultou em alterações não autorizadas de propriedade que passaram despercebidas durante várias horas, comprometendo potencialmente muitos programadores que descarregaram as novas versões. A 19 de julho de 2025, foi anunciado que as versões 3.3.1 a 5.0.0 continham malware e foram removidas aproximadamente 6 horas após os agentes de ameaças as terem enviado para o npm. As versões maliciosas incluíam um loader de malware JavaScript multiplataforma que abre uma porta traseira baseada em WebSocket, recolhendo informações do sistema e variáveis de ambiente e permitindo que os atacantes executem JavaScript arbitrário remotamente. Também foi confirmado que outros pacotes comprometidos no mesmo ataque distribuíam malware. Estes também continham um infostealer do Windows chamado Scavanger, concebido para roubar credenciais armazenadas no navegador e dados confidenciais, com técnicas de evasão como C2 encriptado e syscalls indiretas.