< Back
dark blue background and colored padloks

Tags:

Threat intelligence
08 Outubro 2025

Resumo semanal dos ciberataques de 2 a 8 de outubro

A OpenAI interrompe vários clusters que utilizam indevidamente o ChatGPT para acelerar cibercrimes e operações de influência

A OpenAI publicou o seu último relatório de threat intelligence, no qual revelou que vários atores ligados a Estados e criminosos têm utilizado o ChatGPT para melhorar as suas operações, fraudes e campanhas de influência. Desde 2024, a OpenAI desmantelou mais de quarenta redes por violarem as suas políticas de uso e descobriu que os adversários estão cada vez mais a integrar a IA nos fluxos de trabalho existentes para otimizar o phishing, o desenvolvimento de malware e a propaganda, em vez de criarem novos métodos de ataque. O primeiro envolvia operadores criminosos de língua russa que utilizavam o ChatGPT para ajudar no desenvolvimento de trojans de acesso remoto e módulos de roubo de credenciais. Estas contas, ativas no Telegram e afiliadas a fóruns clandestinos de língua russa, utilizavam o modelo para resolver problemas e aperfeiçoar componentes para pós-exploração, conversão de código shell e análise de credenciais do navegador. Os atores aproveitaram várias contas do ChatGPT para gerar e depurar código modular para loaders na memória,roubo da área de transferência e exfiltração baseada no Telegram, tratando o modelo como um assistente técnico em vez de um gerador de malware. A OpenAI enfatizou que os seus modelos rejeitavam sistematicamente solicitações explicitamente maliciosas e que não surgiram novas capacidades ofensivas além das que já estão disponíveis publicamente.

Pacote malicioso do Node distribui OtterCookie

Foi investigada uma campanha em que um projeto de código aberto trojanizado hospedado no Bitbucket distribuiu o OtterCookie, uma família de stealer/backdoor ligada à Coreia do Norte, direcionada a postos de trabalho de developers e organizações do setor financeiro. O repositório malicioso fazia-se passar por um projeto inofensivo de xadrez 3D, mas continha uma rotina de inicialização programada para falhar deliberadamente; quando essa falha ocorria, um bloco catch entrava em contato com uma API remota e baixava JavaScript malicioso, que era então compilado e executado localmente. Este design de carga remota permitia que o repositório, aparentemente benigno, atuasse como um canal de preparação sigiloso: o código visível parecia legítimo, enquanto a resposta do servidor executava ações maliciosas.

ShinyHunters lança um site dedicado a fugas de dados: Trinity of Chaos anuncia novas vítimas de ransomware

Um coletivo de cibercriminosos associado ao ShinyHunters, LAPSUS$ e Scattered Spider lançou um novo site de data leaks chamado Trinity of Chaos. Este site lista 39 organizações como vítimas. Segundo relatos, os atacantes aproveitavam as configurações fracas e fluxos de autorização (OAuth) mal utilizados e as suas integrações, possivelmente usando phishing por voz para enganar os funcionários e fazer com que concedessem a aplicações OAuth maliciosas acesso à infraestrutura crítica de CRM. Uma vez obtido o acesso, os atacantes exportaram grandes volumes de informações de identificação pessoal (PII) e dados confidenciais. A fusão da exfiltração de dados com a ameaça de encriptação ou maior exposição pública ressalta que estes ataques são agora uma combinação de modelos de ransomware.

UAT-8099: Grupo de cibercriminosos de língua chinesa ataca IIS de alto valor para cometer fraude SEO

Um grupo de cibercriminosos de língua chinesa, denominado UAT-8099, foi identificado como responsável por uma sofisticada campanha dirigida a servidores web IIS de alto valor em vários países. Os principais objetivos do grupo são a fraude SEO e o roubo de credenciais, e entre as suas vítimas encontram-se universidades, fornecedores de telecomunicações e empresas tecnológicas de regiões como Índia, Tailândia, Vietname, Canadá e Brasil. O UAT-8099 obtém acesso inicial aproveitando configurações inseguras de carregamento de ficheiros em servidores IIS para implementar shells web. Uma vez dentro, eles ativam e escalam os privilégios das contas de convidados para obter acesso de administrador, o que lhes permite estabelecer conexões RDP (Remote Desktop Protocol). Ao comprometer a infraestrutura de servidores confiáveis, o UAT-8099 compromete a integridade dos motores de busca, expondo tanto os utilizadores como as organizações a um risco contínuo.

WARMCOOKIE um ano depois: novas funcionalidades e perspetivas renovadas

Foram publicadas conclusões atualizadas sobre o WARMCOOKIE, uma backdoor do Windows observado em intrusões direcionadas a empresas. O relatório analisa como a backdoor evoluiu ao longo do último ano: os operadores mantêm uma infraestrutura ativa e repetiram as proteções do código, enquanto o objetivo principal continua o mesmo: estabelecer um ponto de apoio silencioso nos endpoints e, em seguida, obter o controlo prático para a atividade pós-comprometimento. A cadeia de execução do WARMCOOKIE conduz a uma backdoor residente que comunica com o seu comando e controlo através de HTTP(S), trocando tarefas e resultados encriptados. Uma vez ativada, suporta a funcionalidade típica da backdoor que é comumente usada durante os estágios iniciais das invasões, incluindo reconhecimento e digitalização do host, execução de comandos remotos, operações com arquivos (leitura/gravação/carregamento) e funções de vigilância, como captura de tela. As amostras são caracterizadas por fortes medidas de ofuscação e antianálise projetadas para frustrar a inspeção estática e o sandboxing, bem como por comportamentos em tempo de execução que minimizam os artefatos no disco para complicar a análise forense.