< Back
an exclamation mark indicating a threat

Tags:

Threat intelligence
12 Agosto 2025

Resumo dos ciberataques 12-18 junho

Foi detetada uma campanha de ciberespionagem ativa em Espanha, França, Portugal, Itália, Bélgica e Países Baixos

Uma campanha de ciberespionagem ativa na Europa revelou o uso do trojan de acesso remoto (RAT) Sorillus, também conhecido como SambaSpy. O ataque, atribuído a atores de língua portuguesa, é distribuído por emails de phishing com faturas falsas que redirecionam para servidores maliciosos através de serviços como OneDrive, Ngrok e MediaFire. O malware, vendido desde 2019 as a service, permite espiar webcams, gravar áudio, roubar dados e controlar sistemas operativos Windows, macOS e Linux. Apesar do encerramento do seu site comercial em janeiro de 2025, continuam a circular versões piratas em fóruns e redes sociais. A campanha afeta organizações em Espanha, França, Portugal, Itália, Bélgica e Países Baixos, utilizando mensagens em vários idiomas e técnicas sofisticadas de evasão. Os investigadores recomendam bloquear os domínios associados e monitorizar ou bloquear serviços de armazenamento em cloud e túneis de rede, caso não estejam a ser utilizados para fins autorizados pela organização.

Foi descoberta uma nova campanha de ciberespionagem do grupo XDSpy com malware atualizado XDigo

Investigadores revelaram uma operação de ciberespionagem realizada em 2025 pelo grupo XDSpy, centrada em governos e entidades estratégicas da Europa Oriental, especialmente na Bielorrússia. A campanha utiliza uma nova versão XDigo, implementado através de ficheiros LNK manipulados que exploram falhas na análise de atalhos do Windows. O XDigo recolhe informações do sistema, captura ecrãs e procura ficheiros sensíveis, que encripta com AES-256-GCM antes de os exfiltrar para um servidor C2 através de pedidos HTTPS. Além disso, pode receber comandos encriptados do C2, que são assinados e validados criptograficamente. Foram identificadas várias versões do XDigo, algumas com capacidades adicionais de roubo de credenciais. A infraestrutura utilizada mostra técnicas avançadas de evasão, incluindo redirecionamentos para ficheiros de inteligência artificial para despistar os analistas. O uso reiterado de padrões únicos e ferramentas comuns permite associar esta campanha a operações anteriores do XDSpy, em atividade desde pelo menos 2020.

Ciberataque compromete mais de 269.000 páginas web com código malicioso

Investigadores de cibersegurança detetaram uma campanha em grande escala que afetou mais de 269.000 páginas web legítimas através da injeção de código JavaScript malicioso. O ataque, que atingiu o seu pico em 12 de abril de 2025 com mais de 50.000 sites comprometidos num único dia, usa uma técnica de ofuscação conhecida como JSFireTruck, baseada em uma codificação com caracteres limitados que dificulta a sua análise. O código malicioso verifica se o visitante vem de motores de busca como Google ou Bing e, em caso afirmativo, redireciona o utilizador para sites perigosos que podem distribuir malware ou exibir publicidade maliciosa.

Ataque com o ransomware Fog revela ferramentas incomuns e possíveis fins de espionagem

Um ataque perpetrado em maio de 2025 contra uma instituição financeira na Ásia chamou a atenção pelo uso do ransomware Fog juntamente com um conjunto de ferramentas incomuns. Entre elas está o Syteca, um software legítimo de monitorização de funcionários, e utilitários de pentesting de código aberto como GC2, Stowaway e Adaptix, nunca antes vistos em ataques de ransomware. Os atacantes permaneceram duas semanas na rede antes de implementar o malware e, ao contrário do habitual, estabeleceram persistência após a infeção. Também utilizaram ferramentas como PsExec e SMBExec para se moverem lateralmente e programas como MegaSync e FreeFileSync para roubar informações. O uso de ferramentas relacionadas com espionagem e a permanência prolongada no sistema sugerem que o ransomware pode ter sido uma distração ou um meio secundário de lucro, num ataque com objetivos possivelmente mais complexos.

Foi detetado um novo malware que se faz passar pelo DeepSeek para realizar espionagem

Foi descoberta uma nova campanha que usa um site falso que emula a popular inteligência artificial DeepSeek-R1, aproveitando a sua crescente procura. Os atacantes recorreram ao malvertising no Google Ads para posicionar uma página fraudulenta como se fosse a oficial, enganando os utilizadores para que descarregassem um instalador malicioso. Ao executar o ficheiro, é iniciada uma cadeia de infeções que culmina com a instalação de um implante chamado BrowserVenom, projetado para redirecionar todo o tráfego web do utilizador através de um proxy controlado pelos cibercriminosos. Isto permite-lhes interceptar, manipular e espiar a atividade de navegação. O código dos sites maliciosos contém anotações em russo, o que aponta para desenvolvedores que falam russo. O ataque afeta especialmente utilizadores de sistemas Windows e requer privilégios de administrador para executar totalmente a sua payload maliciosa. Foram detetadas infeções em vários países, incluindo México, Brasil e Índia. As autoridades recomendam verificar cuidadosamente os endereços da web e os certificados antes de descarregar software relacionado à IA.