< Back
Chihuahua stealer

Tags:

Threat intelligence
14 Maio 2025

Resumo semanal dos ciberataques 08-14 maio

Descoberto o “Chihuahua Stealer”, um infostealer em PowerShell e .NET

Foi detetado um novo malware infostealer chamado Chihuahua Stealer. Identificado pela primeira vez após uma publicação no Reddit em 9 de abril, este malware é disseminado através de um documento do Google Drive que induz o utilizador a executar um script PowerShell ofuscado. A infeção ocorre em várias etapas, estabelecendo persistência por meio de tarefas agendadas que procuram ficheiros marcadores e descarregam payloads adicionais de domínios alternativos. O núcleo do malware, escrito em .NET, rouba dados de navegadores e extensões de carteiras de criptomoedas. As informações extraídas são compactadas em um arquivo “.chihuahua”, encriptadas usando AES-GCM através de APIs nativas do Windows e exfiltradas via HTTPS para um servidor remoto. Por fim, ele apaga o seu rasto para evitar a detecção.

Suspeito de ciberataques com ransomware DoppelPaymer detido na Moldávia

As autoridades da Moldávia prenderam um homem de 45 anos acusado de participar de ataques com o ransomware DoppelPaymer, que afetaram organizações holandesas em 2021. A detenção, realizada em 6 de maio, incluiu a busca em sua residência e veículo, onde foram apreendidos dispositivos eletrónicos, dinheiro no valor de 84.800 euros e outros objetos relevantes. O detido, de nacionalidade estrangeira, está ligado a um ataque contra o Conselho de Investigação dos Países Baixos (NWO), que causou danos no valor de cerca de 4,5 milhões de euros e obrigou ao encerramento do seu sistema de pedidos de subsídios. A Moldávia iniciou os trâmites para a sua extradição para os Países Baixos. Esta ação faz parte de uma operação conjunta entre a Moldávia e os Países Baixos, no âmbito de uma investigação mais ampla contra o grupo DoppelPaymer, responsável por múltiplos ataques a empresas e infraestruturas críticas desde 2019.

Novas ferramentas falsas de geração de vídeo com IA propagam o malware Noodlophile

Investigadores de cibersegurança descobriram uma nova campanha maliciosa que utiliza falsos geradores de vídeo com inteligência artificial para distribuir um malware chamado Noodlophile. Sites com nomes atraentes como “Dream Machine”, promovidos em grupos do Facebook, oferecem supostos vídeos gerados por IA a partir de ficheiros do utilizador, mas na realidade entregam um ficheiro comprimido com um executável malicioso camuflado como vídeo. Este ficheiro, uma versão modificada de um editor de vídeo legítimo, desencadeia uma cadeia de infeção que culmina com a execução do Noodlophile Stealer. Este malware rouba credenciais, cookies, tokens e carteiras de criptomoedas dos navegadores e exfiltra os dados através de um bot do Telegram. De acordo com os investigadores, o malware, de origem vietnamita, é vendido em fóruns da dark web e oferecido como serviço. Em alguns casos, é combinado com o trojan XWorm, ampliando a sua capacidade de espionagem.

Novo golpe ao grupo de ransomware LockBit após vazamento maciço de dados

O grupo de ransomware LockBit sofreu um importante data leak após um ataque ao seu painel de afiliados na Dark Web. Todos os painéis de administração foram substituídos por uma mensagem que dizia “Don't do crime CRIME IS BAD xoxo from Prague”, com um link para um banco de dados MySQL para download. O arquivo, analisado por especialistas, revela cerca de 60.000 endereços de bitcoin, configurações de ataques, nomes de empresas atacadas e mais de 4.400 mensagens de negociação com vítimas entre dezembro e abril. Também foram filtradas credenciais em texto simples de 75 utilizadores do painel, incluindo passwords chamativas como “Weekendlover69”. O operador «LockBitSupp» confirmou o incidente, mas garantiu que nenhuma password foi filtrada nem foram perdidas informações. O autor do ataque ainda é desconhecido, embora a mensagem coincida com uma usada num recente ataque ao grupo Everest. Esta nova quebra de segurança representa mais um golpe para o LockBit, que já havia sido parcialmente desmantelado em 2024 pela operação policial Cronos.

O grupo de ransomware Agenda melhora o seu arsenal com SmokeLoader e NETXLOADER

Investigadores de cibersegurança descobriram que o grupo de ransomware Agenda, também conhecido como Qilin, incorporou dois poderosos loaders de malware — SmokeLoader e NETXLOADER — ao seu conjunto de ferramentas de ataque. O SmokeLoader é um loader de malware conhecido que facilita a entrega de várias payloads maliciosas, enquanto o NETXLOADER é uma ferramenta mais recente projetada para injetar código malicioso em processos legítimos, auxiliando na evasão e persistência. A integração dessas ferramentas indica o compromisso do Agenda em melhorar seus mecanismos de entrega de malware e complicar os esforços de deteção. O grupo continua a ter como alvo organizações em vários setores, o que enfatiza a necessidade de defesas de cibersegurança robustas.