Resumo semanal dos ciberataques 31 de julho a 6 de agosto
GenAI falsificou a identidade de sites governamentais brasileiros
De acordo com informações de 5 de agosto de 2025, investigadores da Zscaler ThreatLabz descobriram uma sofisticada campanha de phishing direcionada a cidadãos brasileiros, fingindo ser entidades governamentais como o Departamento de Trânsito Estadual e o Ministério da Educação. A campanha utiliza ferramentas de IA generativa (DeepSite AI e BlackBox AI) para criar clones realistas de sites oficiais do governo. Essas páginas de phishing são projetadas para recolher informações pessoais confidenciais e extrair pagamentos através do sistema de pagamento instantâneo Pix do Brasil. Os atacantes por trás da campanha replicam os elementos visuais e estruturais dos sites governamentais legítimos com precisão surpreendente, incluindo o uso de TailwindCSS e FontAwesome para o estilo e até comentários de código detalhados no estilo dos developers, fortes indicadores de código gerado por IA. Essas páginas de phishing são promovidas artificialmente para os primeiros lugares nos resultados dos motores de pesquisa por meio de técnicas de SEO poisoning, o que aumenta significativamente a probabilidade de interação do utilizador. Também há indícios de que a campanha pode ter sido distribuída por e-mail. As campanhas culminam com um pedido de pagamento fraudulento de 87,40 reais, supostamente para cobrir taxas de processamento ou registo, que são enviados através do Pix, mas transferidos diretamente para os autores da ameaça.
Um stealer de PXA distribuído através do Telegram obtém 200 000 palavras-passe e dados de cartões de crédito
De acordo com informações de 4 de agosto de 2025, a SentinelLABS e a Beazley Security descobriram uma campanha cibercriminosa em evolução que aproveita o PXA Stealer baseado em Python, um infostealer atribuído a atacantes de língua vietnamita. A operação integra técnicas avançadas de antianálise, carregamento lateral de software legítimo, automação baseada no Telegram e infraestrutura sigilosa para facilitar o roubo e a revenda de dados em grande escala. Foram identificados mais de 4000 endereços IP de vítimas únicas em 62 países, com concentrações notáveis na Coreia do Sul, Estados Unidos, Países Baixos, Hungria e Áustria. Os atacantes utilizam táticas de phishing e engenharia social para atrair as vítimas e fazê-las executar ficheiros comprimidos maliciosos que incluem aplicações legítimas e assinadas (por exemplo, Haihaisoft PDF Reader ou Microsoft Word 2013) com DLL maliciosas carregadas lateralmente. Uma vez executado, o malware instala um intérprete Python, obtém mais payloads e ficheiros RAR encriptados e, finalmente, implementa o PXA Stealer. O malware extrai informações confidenciais, incluindo mais de 200 000 palavras-passe únicas, centenas de registos de cartões de crédito e mais de 4 milhões de cookies do navegador, bem como dados de preenchimento automático, tokens de sessão e dados de carteiras de criptomoedas. Esses dados são transmitidos automaticamente para bots do Telegram e canalizados para um mercado clandestino mais amplo.
O ransomware Qilin expõe na Internet as credenciais de início de sessão no painel de afiliados
De acordo com informações de 1 de agosto de 2025, um conflito interno dentro do grupo de ransomware Qilin veio a público quando um dos seus afiliados, conhecido como hastalamuerte, acusou os principais operadores do Qilin de realizar um esquema de saída. O afiliado afirmou ter sido enganado em 48 000 dólares e publicou esta acusação num fórum da Dark Web em 31 de julho de 2025. Pouco depois da acusação, um utilizador chamado Nova, aparentemente afiliado a um grupo rival de ransomware, publicou as credenciais e o acesso ao painel interno de afiliados do Qilin. Nova incluiu um aviso em russo, afirmando que o FBI e investigadores de segurança se tinham infiltrado na infraestrutura do Qilin e que quaisquer fundos transferidos para o Qilin poderiam ser confiscados imediatamente. A investigação posterior sobre hastalamuerte revelou um extenso rasto técnico. A filial foi encontrada a utilizar uma amostra de Mimikatz empacotada com Themida, carregada no GitHub em 27 de julho de 2024. Dois ficheiros HTML atuaram como pais de execução para esta carga útil, gravando finalmente file2.exe (uma cópia renomeada de Mimikatz) no sistema local. O agente também carregou um repositório em russo intitulado Netexecru, uma folha de truques para o NetExec, uma estrutura de equipas vermelhas comumente usada para acesso a credenciais, movimento lateral e escalonamento de privilégios em ambientes Windows Active Directory. Isso sugere que o objetivo operacional da filial eram as redes empresariais Windows.
Foi revelado o arsenal de ameaças em evolução do Interlock Group
De acordo com dados de 31 de julho de 2025, investigadores de segurança da eSentire (TRU) identificaram uma campanha sofisticada em várias fases operada pelo grupo de ransomware Interlock Group. Este grupo atacou empresas na América do Norte e na Europa, combinando phishing, engenharia social e malware para roubar dados, implementar ransomware e manter acesso prolongado. Ao longo de toda a cadeia de infeção, são utilizadas técnicas de ofuscação, payloads, mensagens de erro falsas, persistência através de chaves de registo, ferramentas de reconhecimento e exfiltração em ficheiros codificados em base64, armazenados em C:\Users\Public\*.log. Destaca-se a necessidade de monitorização de processos, deteção de LOLBins e formação em phishing para se defender contra estas ameaças complexas.
Foi lançado um decodificador gratuito para o ransomware FunkSec potencializado por IA
Investigadores em cibersegurança da Avast publicaram um decodificador gratuito para o ransomware FunkSec, uma variante de malware que agora é considerada inativa. O FunkSec afetou 113 vítimas confirmadas, com base na sua aparição no site de data leaks do grupo de ransomware. Inicialmente, o grupo se concentrava apenas na exfiltração de dados e extorsão, antes de passar para a criptografia completa de arquivos. O FunkSec é conhecido por incorporar inteligência artificial em aproximadamente 20% das suas operações. A IA foi usada principalmente para gerar modelos de phishing e ferramentas auxiliares, e não para o desenvolvimento central do malware. Apesar da sua aparente sofisticação, muitas amostras do ransomware apresentavam falhas e não funcionavam corretamente. O ransomware encripta os ficheiros utilizando a linguagem de programação Rust e a biblioteca orion-rs (versão 0.17.7), empregando a encriptação Chacha20 juntamente com MAC Poly1305 para garantir a integridade dos dados. Os ficheiros encriptados têm a extensão “.funksec” e cada pasta contém uma nota de resgate chamada “README-{random}.md”. O descodificador da Avast é oferecido como um executável de 64 bits e pode ser executado com privilégios de administrador através de uma interface tipo assistente. Os utilizadores podem selecionar diretórios específicos para desencriptação e é recomendável fazer cópias de segurança dos ficheiros encriptados antes de iniciar o processo.