< Back
Modern buildings

Tags:

Threat intelligence
20 Agosto 2025

Resumo Semanal dos ciberataques 14 a 20 de agosto

GodRAT: novo RAT direcionado a instituições financeiras

Investigadores de segurança descobriram uma campanha em curso direcionada a instituições financeiras, especificamente empresas de comércio e corretagem, através da implementação de um novo trojan de acesso remoto (RAT) conhecido como GodRAT. A campanha, ativa desde pelo menos setembro de 2024, distribui ficheiros executáveis maliciosos .scr (proteção de ecrã) e .pif (ficheiro de informação do programa) camuflados como documentos financeiros, principalmente através do Skype Messenger. O malware é uma evolução sofisticada do antigo código base Gh0st RAT e apresenta semelhanças surpreendentes com o AwesomePuppet RAT, anteriormente atribuído ao grupo Winnti APT. Os atacantes utilizam técnicas de esteganografia, incorporando código shell em imagens que, uma vez descodificadas, descarregam e executam o GodRAT a partir de servidores de comando e controlo (C2) remotos. As cadeias de infeção também aproveitam binários legítimos como Valve.exe e loaders como SDL2.dll, ambos assinados com certificados digitais expirados, para executar código shell oculto e estabelecer persistência através de modificações no registo. Uma vez operacional, o GodRAT comunica com os seus servidores C2 utilizando pacotes encriptados e comprimidos personalizados, transmitindo informações do sistema da vítima, tais como a versão do sistema operativo, o nome do host, os ID dos processos, a presença de antivírus e as credenciais dos utilizadores.

O grupo Kinsing expande as suas operações para a Rússia

Investigadores russos de cibersegurança informaram que o grupo Kinsing expandiu as suas operações para a Rússia numa campanha em grande escala direcionada a sistemas vulneráveis para mineração de criptomoedas. A empresa de cibersegurança sediada na Rússia F6 afirmou que os ataques começaram em abril e envolveram infeções com os malwares Kinsing e XMRig, ambos amplamente utilizados para minerar a criptomoeda Monero (XMR). Embora a F6 não tenha revelado quais empresas foram afetadas, confirmou que os atacantes exploraram o CVE-2017-9841, uma vulnerabilidade crítica de execução remota de código no framework de testes PHP PHPUnit. A falha, corrigida em 2017, mas ainda explorável em sistemas obsoletos, permitiu aos hackers assumir o controlo total dos servidores comprometidos. Kinsing, também conhecido como H2Miner ou Resourceful Wolf, está ativo desde 2019 e é considerado um dos grupos de criptojacking mais prolíficos. Em vez de recorrer ao phishing, o grupo costuma fazer o scanning de redes em busca de vulnerabilidades de software para implantar código malicioso. Embora a maioria dos seus ataques tenha sido observada anteriormente na América do Norte, Europa Ocidental e Ásia, esta é a primeira campanha em grande escala confirmada na Rússia.

PhantomCard: novo malware para Android baseado em NFC que está a surgir no Brasil

Os analistas de cibersegurança da ThreatFabric identificaram um novo trojan bancário para Android chamado PhantomCard, que atualmente ataca utilizadores no Brasil e pode expandir-se mundialmente. O PhantomCard é um malware baseado em NFC projetado para transmitir dados de cartões bancários das vítimas diretamente para os dispositivos dos cibercriminosos, permitindo que transações fraudulentas sejam realizadas em caixas eletrônicos ou terminais de ponto de venda como se o criminoso estivesse fisicamente com o cartão da vítima. O malware é distribuído por meio de páginas falsas do Google Play que se fazem passar por aplicações legítimas chamadas “Proteção Cartões”, apoiadas por avaliações positivas falsas para ganhar a confiança das vítimas. Uma vez instalado, o malware solicita às vítimas que passem os seus cartões bancários pelo telefone infetado. O PhantomCard captura os dados NFC ISO-DEP (ISO 14443-4) do cartão, transmite-os através de um servidor proxy controlado pelos criminosos e até solicita às vítimas que introduzam os seus códigos PIN. Isto permite aos atacantes autenticar as transações em tempo real enquanto utilizam fisicamente os dados do cartão transmitidos num terminal de ponto de venda ou caixa automático. Nos vídeos publicados, a vítima passa o cartão pelo dispositivo infetado e o atacante conclui imediatamente um pagamento. A análise revelou que o PhantomCard tem origem numa plataforma chinesa de malware como serviço (MaaS) chamada NFU Pay. O distribuidor do PhantomCard, um agente sediado no Brasil conhecido como Go1ano developer, personalizou o NFU Pay para o mercado local e está a promovê-lo como GHOST NFC CARD. A campanha é adaptada ao Brasil, com indicadores como um endpoint do servidor C2 chamado /baxi/b (Baxi é a palavra chinesa para Brasil). No entanto, o distribuidor comercializa explicitamente o PhantomCard como uma ferramenta preparada para o mercado global, o que sugere que é possível adaptá-la a outras regiões.

Escritórios de advocacia fictícios visam vítimas de fraudes com criptomoedas

O FBI emitiu uma atualização do seu Aviso de Serviço Público (PSA) alertando sobre escritórios de advocacia fictícios que visam vítimas de fraudes com criptomoedas, oferecendo fraudulentamente a recuperação dos fundos perdidos. Este esquema combina várias táticas para defraudar ainda mais as vítimas, especialmente idosos e pessoas financeiramente vulneráveis. Os criminosos fazem-se passar por advogados e escritórios de advocacia legítimos, usam documentos legais falsificados com cabeçalhos credíveis e afirmam falsamente ter ligações com agências governamentais dos EUA e estrangeiras. Em alguns casos, inventam órgãos reguladores fictícios, como a chamada “International Financial Trading Commission (INTFTC)”. Estes burlões podem ter informações detalhadas sobre transferências anteriores das vítimas e empresas associadas, explorando esses dados para ganhar credibilidade. Frequentemente, as vítimas recebem a notícia de que estão numa lista oficial de pessoas elegíveis para recuperação de fundos e são encaminhadas para falsos «escritórios de recuperação de criptomoedas». Os criminosos geralmente instruem as vítimas a abrir contas em bancos estrangeiros — sites que parecem legítimos, mas são fraudulentos e controlados pelos golpistas — e até as adicionam a chats em grupo no WhatsApp ou outras aplicações com o pretexto de manter a «segurança». Supostos processadores bancários e advogados estrangeiros solicitam pagamentos em criptomoedas ou cartões pré-pagos para «verificar a identidade» antes de liberar os fundos. Evitam mostrar credenciais, não aparecem na câmara e recusam videochamadas. Às vezes, instruem o envio de pagamentos a terceiros para «manter a confidencialidade». O FBI enfatiza que não existem escritórios de advocacia oficialmente autorizados a se associar a agências do governo dos EUA e que as autoridades legítimas nunca solicitam pagamentos por investigações. Entre fevereiro de 2023 e fevereiro de 2024, as vítimas relataram perdas adicionais superiores a US$ 9,9 milhões devido a esses golpes. O aviso recomenda adotar uma abordagem de «zero trust», desconfiar de ofertas legais não solicitadas, exigir credenciais verificáveis, confirmar ligações com agências oficiais e documentar todas as interações. Quem suspeitar ser alvo deste tipo de fraude deve reportá-lo ao escritório local do FBI e ao Centro de Queixas de Crimes na Internet (IC3).

Os grupos de ameaças ShinyHunters e Scattered Spider colaboram para extorquir empresas

Os grupos de ameaças ShinyHunters e Scattered Spider parecem estar a colaborar numa campanha de extorsão de dados centrada em clientes da Salesforce, com indícios de que em breve poderão visar fornecedores de serviços financeiros e tecnológicos. Os ShinyHunters evoluíram do roubo de credenciais e exploração de bases de dados para técnicas dos Scattered Spider: vishing altamente direcionado, engenharia social, aplicações maliciosas disfarçadas, páginas de phishing com temática Okta e uso de VPN para exfiltração de dados. Desde 2020, o ShinyHunters monetiza breaches através do RaidForums e do BreachForums e relançou o BreachForums várias vezes entre 2023 e 2025. Recentemente, as autoridades francesas prenderam quatro pessoas supostamente relacionadas ao BreachForums e ao ShinyHunters, embora o grupo afirme que as prisões são falsas. Em 8 de agosto de 2025, surgiu um novo canal no Telegram, “scattered lapsu$ hunters”, combinando marcas do ShinyHunters, Scattered Spider e LAPSUS$, e anunciando um RaaS chamado ShinySp1d3r para competir com o LockBit e o DragonForce. O Telegram removeu o canal em três dias. Analistas apontam sobreposição tática, padrões de ataque compartilhados e contas como “Sp1d3rHunters” ligadas a violações anteriores do ShinyHunters, sugerindo uma colaboração de longo prazo. O ShinyHunters anunciou que o BreachForums está sob o controlo das autoridades francesas e do FBI, alertando que qualquer reaparecimento futuro seria uma armadilha.