< Back
view of an integrated circuit (chipset)

Tags:

Threat intelligence
01 Outubro 2025

Resumo semanal dos ciberataques 25 set-01 out

Klopatra: novo RAT bancário para Android com ligações turcas que ataca Espanha e Itália

Foi descoberto e analisado o Klopatra, um trojan bancário e de acesso remoto para Android altamente sofisticado e até agora desconhecido, que está a comprometer ativamente dispositivos em campanhas específicas. Foram identificadas duas botnets principais ligadas ao Klopatra (que, juntas, ultrapassam os 3000 dispositivos infetados), com uma campanha centrada em alvos financeiros em Espanha e Itália. A operação parece ser dirigida por um grupo criminoso de língua turca. A cadeia de infeção do Klopatra começa com um dropper que se faz passar por uma aplicação de IPTV (por exemplo, «Mobdro Pro IP TV + VPN»). O dropper utiliza um «JSON Packer» para ocultar a payload real e obriga o utilizador a conceder a permissão REQUEST_INSTALL_PACKAGES. Depois de instalar a payload principal, o Klopatra solicita serviços de acessibilidade e um amplo conjunto de permissões. Através da acessibilidade, consegue um controlo quase total do dispositivo, incluindo a monitorização do ecrã, a captura de ecrã/entradas, a simulação de toques/gestos e a navegação autónoma.

Lunar Spider permite uma intrusão de quase dois meses com um único clique

O relatório DFIR documentou uma sofisticada campanha de intrusão atribuída ao grupo Lunar Spider, que durou quase dois meses e demonstrou como um único clique num link de phishing provocou um comprometimento generalizado. A intrusão começou com um arquivo JavaScript camuflado como um formulário fiscal que, ao ser executado, lançava um instalador MSI que desdobrava um loader Brute Ratel. O loader injetou o malware Latrodectus no explorer.exe, estabelecendo uma conexão de comando e controlo através da infraestrutura BackConnect e domínios proxy através do Cloudflare. Os dados foram roubados, mas não recuperados, e embora não tenha sido implementado nenhum ransomware, o posicionamento do grupo sugeria sua capacidade de encriptar completamente a rede. A campanha destaca a abordagem em camadas do Lunar Spider, que envolve acesso inicial através de phishing, persistência sigilosa através de loaders e backdoors, exploração de vulnerabilidades críticas, roubo de credenciais de várias fontes e roubo sustentado de dados durante um tempo de permanência prolongado.

DeceptiveDevelopment: do roubo de criptomoedas à fraude sofisticada baseada em IA

Investigadores revelaram novos detalhes sobre o DeceptiveDevelopment, um grupo alinhado com a Coreia do Norte, ativo desde pelo menos 2023 e intimamente ligado às atividades de trabalhadores informáticos nortecoreanos disfarçados. O grupo é especializado em campanhas de engenharia social em grande escala direcionadas a programadores de software, especialmente aqueles que trabalham em projetos de criptomoedas e Web3, com o objetivo de roubo financeiro e infiltração mais ampla. Os seus operadores fazem-se por recrutadores em plataformas como LinkedIn, Upwork, Freelancer e Crypto Jobs List, atraindo vítimas com ofertas de emprego falsas. De seguida, são incitados a descarregar desafios de codificação trojanizados ou interagir com sites de entrevistas fraudulentas. Uma das suas técnicas mais notáveis, chamada ClickFix, manipula os candidatos para que copiem comandos que descarregam e executam malware secretamente.

RedNovember tem como alvo organizações governamentais, de defesa e de tecnologia

Foi revelado que o grupo de ameaças patrocinado pelo Estado chinês conhecido como RedNovember, anteriormente conhecido como TAG-100 e que se sobrepõe ao Storm-2077, realizou uma série de operações de ciberespionagem em grande escala entre junho de 2024 e julho de 2025 contra organizações governamentais, de defesa, tecnológicas e do setor privado de alto perfil em todo o mundo. O grupo tem dependido em grande parte da backdoor Pantegana baseada em Go, Cobalt Strike e SparkRAT, além da exploração oportunista de vulnerabilidades em dispositivos periféricos. O RedNovember demonstra uma estratégia de transformar exploits de prova de conceito (PoC) disponíveis publicamente em armas, em combinação com ferramentas de segurança ofensivas amplamente utilizadas, o que permite escalar rapidamente as operações, reduzindo os custos de desenvolvimento e complicando a atribuição.

Outro BRICKSTORM: backdoor sigilosa que permite a espionagem nos setores tecnológico e jurídico

O Grupo de Threat Intelligence da Google (GTIG) e a Mandiant Consulting estão a rastrear uma sofisticada campanha de espionagem que aproveita a backdoor BRICKSTORM. A atividade foi atribuída ao grupo de ameaças UNC5221, ligado à China, que tem realizado invasões de longo prazo nos Estados Unidos desde pelo menos março de 2025. As principais vítimas são organizações dos setores jurídico, tecnológico, SaaS e de terceirização de processos empresariais. Ao contrário das operações de espionagem típicas, esta campanha foi concebida não só para extrair dados confidenciais, mas também para ganhar terreno com o objetivo de desenvolver exploits zero-day e expandir-se para vítimas posteriores. O BRICKSTORM, escrito em Go, suporta implementação multiplataforma e inclui a funcionalidade de proxy SOCKS, permitindo uma persistência sigilosa em ambientes onde a deteção e resposta de endpoints (EDR) não é viável. As variantes demonstram um desenvolvimento contínuo, que inclui ofuscação, ativação retardada e camuflagem como processos legítimos.