< Back
network around a world map

Tags:

Threat intelligence
07 Maio 2025

Resumo Semanal dos Ciberataques – 1 a 7 de maio

Nova vaga de ciberataques em Portugal usa a técnica de engano ClickFix

Investigadores de cibersegurança identificaram uma nova campanha direcionada a dezenas de organizações portuguesas nos setores governamental, financeiro e de transportes. O ataque está ligado ao malware Lampion, um infostealer que rouba principalmente dados bancários, que está ativo desde 2019. Desta vez, os atacantes incorporaram uma técnica de engenharia social chamada ClickFix, que induz os utilizadores a copiar comandos maliciosos acreditando que estão a resolver problemas do sistema. O ataque começa com e-mails de phishing e ficheiros ZIP que contêm scripts Visual Basic altamente ofuscados, que são executados em várias fases para evitar a deteção. Embora o malware final não tenha sido ativado nesta campanha, os investigadores conseguiram reconstruir toda a cadeia de infeção, que inclui técnicas de evasão, obtenção de dados do sistema e download de uma DLL com mais de 700 MB. O uso de comentários em português dentro do código sugere que o ataque foi projetado especificamente para utilizadores lusófonos.

Google corrige falha grave de segurança no Android já explorada por atacantes

A Google lançou sua atualização de segurança de maio para Android, corrigindo 46 vulnerabilidades, incluindo uma crítica já explorada ativamente: a CVE-2025-27363. Essa vulnerabilidade, com uma pontuação CVSS de 8,1, afeta o componente do sistema e permite a execução de código local sem exigir permissões adicionais ou interação do utilizador. A origem da falha está na biblioteca de código aberto FreeType, usada para renderizar fontes. A vulnerabilidade, uma escrita fora dos limites ao processar fontes TrueType GX e variáveis, foi revelada pelo Facebook em março, após detectar seu uso em ataques reais. Embora a Google indique que o alcance da exploração é limitado e direcionado, recomenda atualizar o mais rápido possível.

Detetada uma nova versão do malware StealC com novas capacidades de roubo de dados

O StealC, um conhecido malware de roubo de informações e download de programas maliciosos, lançou sua segunda grande versão com melhorias significativas em sigilo e capacidades de extração de dados. Embora esta atualização tenha sido distribuída em março de 2025, os investigadores acabaram de publicar uma análise detalhada. Desde o seu aparecimento em 2023, o StealC ganhou popularidade na Dark Web devido ao seu baixo custo e eficácia, e em 2024 foi utilizado em campanhas massivas de malvertising e bloqueios de sistema. A sua nova versão inclui suporte para ficheiros EXE, pacotes MSI e scripts PowerShell, encriptação RC4 para dificultar a deteção, geração de compilações personalizadas e notificações em tempo real através de bots do Telegram. Também pode capturar imagens de ecrã em configurações de vários monitores. Algumas funcionalidades, como verificações anti-VM, foram removidas, possivelmente para tornar o código mais leve. A sua distribuição recente foi detetada através do loader Amadey. Os especialistas recomendam não armazenar dados sensíveis em navegadores e usar autenticação multifator.

 O FBI desmantela a operação de phishing LabHost com 42 000 domínios

O FBI desmantelou o LabHost, uma importante plataforma de phishing como serviço (PhaaS) ligada a 42 000 domínios de phishing. Ativo entre 2021 e 2024, o LabHost permitiu que quase 10 000 utilizadores se fizessem passar por bancos, organismos governamentais e outras organizações para roubar dados pessoais e financeiros. Oferecia sites de phishing, phishing por SMS e ferramentas para contornar a autenticação de dois fatores. As autoridades recuperaram mais de um milhão de credenciais roubadas e quase 500 000 cartões de crédito comprometidos. O FBI publicou os dados dos domínios para ajudar as organizações a identificar compromissos anteriores e recomenda a revisão dos registos de rede em busca de atividades relacionadas. Esta ação destaca a magnitude do cibercrime comercializado e reforça a importância da colaboração policial a nível mundial na prevenção de ciberameaças.

Malware detetado no PyPI direcionado a programadores do Discord

Uma equipa de investigação descobriu um pacote malicioso no repositório de software PyPI que se fazia passar por uma ferramenta de debugging para developers de bots do Discord. Sob o nome discordpydebug, o pacote continha um trojan de acesso remoto (RAT) capaz de executar comandos, ler e modificar arquivos e exfiltrar dados sem o conhecimento do utilizador. Desde a sua publicação em 21 de março de 2022, foi descarregado mais de 11.000 vezes, afetando potencialmente milhares de sistemas. O malware comunicava com um servidor controlado pelos atacantes e operava através de uma rotina de sondagem contínua, o que lhe permitia agir como um bot totalmente controlado a partir do exterior. A falta de documentação e a facilidade com que se espalhou, mesmo em ambientes confiáveis como servidores de desenvolvimento do Discord, evidenciam os riscos na cadeia de fornecimento de software. Embora o pacote já tenha sido removido do PyPI, o incidente ressalta a necessidade urgente de melhorar a supervisão dos repositórios de código aberto.