< Back
world map background

Tags:

Threat intelligence
27 Agosto 2025

Resumo semanal dos ciberataques de 21 a 27 de agosto

Campanha de phishing distribui UpCrypter para comprometer empresas

Foi identificada uma campanha de phishing ativa que distribui o malware UpCrypter através de mensagens de voz falsas e ordens de compra fraudulentas. O ataque tem como alvo ambientes Microsoft Windows e utiliza e-mails de phishing altamente personalizados com ficheiros HTML maliciosos em anexo. Estes redirecionam para sites falsos que imitam o domínio e o logotipo da vítima para ganhar credibilidade. O objetivo é que o utilizador descarregue um ficheiro ZIP com droppers JavaScript fortemente ofuscados. Os droppers descodificam e executam comandos PowerShell de forma oculta, lançando um loader MSIL na memória com várias técnicas de evasão (deteção de ambientes de análise, máquinas virtuais e ferramentas forenses). Se detetar condições suspeitas, o malware força uma reinicialização do sistema para interromper a análise. O loader obtém payloads adicionais de domínios controlados pelos atacantes, usando esteganografia para ocultar código em texto simples ou imagens. Através do PowerShell ofuscado e reflexão em .NET, injeta malware na memória e estabelece persistência modificando chaves do registo do Windows. Por fim, implementa várias RATs (Ferramentas de Acesso Remoto), incluindo PureHVNC, DCRat e Babylon RAT, proporcionando controlo remoto completo, roubo de dados, persistência e movimento lateral em redes corporativas. A telemetria mostra que a campanha tem alcance global e cresce rapidamente, com deteções que duplicaram em duas semanas, afetando setores como manufatura, tecnologia, saúde, construção e hotelaria. A evolução contínua do UpCrypter torna-o uma ferramenta fundamental no ecossistema de ameaças.

Nova variante do trojan bancário Hook para Android

Foi identificada uma nova variante do trojan bancário Hook para Android, chamada Versão 3, com algumas das funções mais avançadas. As novidades incluem sobreposições do tipo ransomware para extorsão, ecrãs falsos de digitalização NFC para roubar dados, bloqueios de ecrã enganosos para capturar PIN e padrões, capturas de gestos transparentes e transmissão em tempo real do ecrã. A nova versão amplia o conjunto de comandos para 107 (38 novos), permitindo que os atacantes roubem sessões, dados e evitem controlos de segurança. Além disso, não é distribuído apenas por phishing, mas também por repositórios no GitHub, onde APKs maliciosos se disfarçam de aplicações legítimas. O Hook v3 continua a explorar os Serviços de Acessibilidade do Android, mas agora pode usar sobreposições de ransomware, ecrãs falsos do Google Pay, roubo de cookies e tokens e contornar bloqueios de ecrã simulando a introdução de PIN ou padrões. Também rouba fotos, contactos, SMS, registos de chamadas, área de transferência e permite controlo remoto total através de HVNC e VNC.

Campanha de criptojacking da TA-NATALSTATUS intensifica-se globalmente em 2025

Foi descoberta uma campanha de criptojacking em grande escala e muito sofisticada atribuída ao grupo TA-NATALSTATUS, ativo desde 2020 e que agora está a expandir-se globalmente. O grupo aproveita os servidores Redis expostos para instalar mineradores de criptomoedas, desativar as defesas, eliminar o malware da concorrência e estabelecer um controlo persistente sobre a infraestrutura comprometida. Ao contrário das típicas campanhas de mineração «smash-and-grab», o TA-NATALSTATUS desenvolveu uma estratégia disciplinada e de longo prazo, transformando servidores vulneráveis em ativos duradouros para a mineração de Monero. A operação aproveita as configurações erradas generalizadas dos servidores. Os dados mostram que uma percentagem surpreendente de servidores Redis continua exposta em todo o mundo: 41% na Finlândia, 39% na Rússia, 33% na Alemanha, 29% na Índia, 27% no Reino Unido e 17% nos Estados Unidos. Dezenas de milhares de servidores em todo o mundo estão em perigo, e a exploração baseia-se em comandos Redis legítimos, em vez de vulnerabilidades de dia zero. O TA-NATALSTATUS evoluiu consideravelmente desde as suas primeiras campanhas em 2020.

O UAC-0057 continua a exercer pressão sobre a Ucrânia e a Polónia

Investigadores de cibersegurança identificaram novas campanhas maliciosas atribuídas ao agente malicioso UAC-0057, também conhecido como UNC1151, Ghostwriter ou FrostyNeighbor, que têm atacado a Ucrânia e a Polónia desde abril de 2025. A atividade é caracterizada pelo uso de ficheiros compactados enviados por spearphishing que contêm folhas de cálculo Excel com macros VBA projetadas para colocar implantes DLL ofuscados. Esses implantes recolhem informações do sistema, mantêm a persistência e recuperam mais payloads maliciosas de uma rede de servidores de comando e controlo. Na Ucrânia, foram observadas campanhas entre maio e julho de 2025, que aproveitavam ficheiros XLS com cadeias de execução em evolução. Algumas amostras descarregavam DLL diretamente, enquanto outras usavam ficheiros cabinet e atalhos LNK para executar o malware. Na Polónia, as campanhas observadas em abril e maio de 2025 usaram ficheiros XLS maliciosos semelhantes, também com ofuscação MacroPack. As DLLs de primeira fase escritas em C# ou C++ recolhiam dados de perfil do sistema semelhantes, com variantes que enviam as informações exfiltradas para servidores C2 através de webhooks do Slack ou através de ficheiros de imagem camuflados hospedados em domínios falsificados. Alguns implantes utilizavam tarefas agendadas para persistência, enquanto outros eram downloaders de execução única.

Salty 2FA: PhaaS não detetado do Storm-1575 que afeta indústrias dos EUA e da UE

Foi descoberta uma framework de Phishing-as-a-Service (PhaaS) não documentada anteriormente, denominada Salty 2FA, que tem como alvo organizações dos Estados Unidos e da Europa. Ao contrário das plataformas PhaaS estabelecidas, como Tycoon2FA, EvilProxy e Sneaky2FA, esta framework emprega uma cadeia de execução distinta de várias etapas, padrões de domínio inovadores e técnicas de evasão projetadas para evitar a deteção enquanto rouba credenciais do Microsoft 365 e intercepta métodos de autenticação multifator (MFA). O Salty 2FA propaga-se principalmente através de e-mails de phishing com temas como mensagens de voz falsas, modificações de folhas de pagamento, extratos de faturação e convites para licitações. As campanhas são caracterizadas pela sua infraestrutura incomum: domínios compostos em zonas .com (como .com.de ou .it.com) emparelhados com domínios *.ru, combinados com payloads JavaScript ofuscados e trocas de dados encriptados. O kit de phishing é executado em várias etapas.