< Back
Abstract image with a hacker silhouette

Tags:

Threat intelligence
19 Junho 2025

Resumo semanal dos ciberataques 19-25 de junho

Técnicas proativas permitem desativar redes de mineração maliciosa de criptomoedas

Uma equipa de investigadores desenvolveu duas técnicas inovadoras para desmantelar redes de mineração maliciosa de criptomoedas, reduzindo as suas operações sem precisar de depender de terceiros. Aproveitando vulnerabilidades nas topologias de mineração e nas políticas dos pools, os atacantes conseguiram sabotar a infraestrutura dos atacantes. Numa campanha ativa há seis anos, conseguiram eliminar completamente uma taxa de mineração de 3,3 milhões de hashes por segundo, o que representava cerca de 26 000 dólares por ano para os cibercriminosos. As suas ações afetam toda a rede de bots envolvida. Uma das ferramentas utilizadas, XMRogue, simula ser um minerador e envia dados maliciosos que acabam por bloquear toda a operação. Embora não sejam soluções permanentes em todos os casos, estas táticas têm-se revelado eficazes para interromper e, em alguns casos, desativar completamente campanhas de mineração ilícita de criptomoedas.

Foi detetado um novo spyware na App Store e no Google Play ligado ao roubo de criptomoedas

Foi descoberta uma nova campanha de ciberespionagem em aplicações disponíveis tanto no Google Play como na App Store. Trata-se do SparkKitty, um malware que parece ser uma evolução do spyware SparkCat, já conhecido por atacar carteiras de criptomoedas. Este malware opera em dispositivos Android e iOS, roubando imagens das galerias dos utilizadore através do uso de reconhecimento óptico de caracteres (OCR). A campanha está ativa desde pelo menos fevereiro de 2024 e foi disseminada por lojas oficiais, aplicações modificadas e sites fraudulentos que simulam lojas online. No iOS, foi distribuída por meio de perfis empresariais, aproveitando bibliotecas maliciosas disfarçadas de ferramentas legítimas como AFNetworking ou Alamofire. No Android, o malware foi detetado até mesmo em aplicações com mais de 10.000 downloads. A maioria das vítimas está concentrada no sudeste asiático e na China. Os investigadores alertam que esta ameaça pode espalhar-se a outras regiões, uma vez que não tem restrições técnicas para fazê-lo.

Fuga maciça de credenciais já roubadas no passado

Um ficheiro que contém cerca de 16 mil milhões de credenciais foi recentemente exposto online, gerando manchetes que o descrevem erroneamente como um novo data breach. No entanto, especialistas esclarecem que não se trata de um novo ataque, mas de uma compilação de dados roubados anteriormente por meio de malware do tipo infostealer, ataques de preenchimento de credenciais e leaks antigos. A descoberta foi feita pela Cybernews, que indica que a base de dados parece ser composta por ficheiros gerados por este tipo de malware, que extrai palavras-passe guardadas em navegadores e aplicações de equipamentos infetados. Apesar do volume, não foram detetadas informações inéditas. Perante este cenário, recomenda-se aos utilizadores que mantenham boas práticas de cibersegurança, utilizem passwords únicas e robustas e ativem a autenticação em duas etapas para proteger as suas contas.

Foi detetada uma nova variante do RAT norte-coreano GolangGhost, chamada PylangGhost

Em maio de 2025, foi descoberta uma nova variante do trojan de acesso remoto (RAT) GolangGhost, reescrita em Python e batizada de “PylangGhost”. Esta ameaça está a ser utilizada exclusivamente pelo grupo norte-coreano conhecido como Famous Chollima. O RAT é distribuído através de falsas entrevistas de emprego direcionadas a profissionais com experiência em criptomoedas e tecnologia blockchain, especialmente na Índia. Os atacantes criam páginas web que imitam portais de emprego de empresas reconhecidas como a Coinbase, Robinhood ou Uniswap, onde as vítimas devem realizar testes técnicos e seguir instruções para instalar supostos drivers, que na verdade ativam o malware. A versão em Python é destinada a sistemas Windows, a original em Golang continua a ser utilizada em macOS, e os sistemas Linux não são afetados. O PylangGhost permite o controlo remoto do equipamento, o roubo de credenciais e cookies de mais de 80 extensões, incluindo carteiras de criptomoedas como Metamask e 1Password. A estrutura do código revela grande semelhança entre as duas versões, o que sugere que foram desenvolvidas pelos mesmos atores ou grupos intimamente ligados.

Detetada campanha de ciberespionagem ativa em Espanha, França, Portugal, Itália, Bélgica e Países Baixos

Uma campanha de ciberespionagem ativa na Europa revelou o uso do trojan de acesso remoto (RAT) Sorillus, também conhecido como SambaSpy. O ataque, atribuído a atores de língua portuguesa, é distribuído por e-mails de phishing com faturas falsas que redirecionam para servidores maliciosos através de serviços como OneDrive, Ngrok e MediaFire. O malware, vendido desde 2019 como serviço, permite espiar webcams, gravar áudio, roubar dados e controlar sistemas operativos Windows, macOS e Linux. Apesar do encerramento do seu site  em janeiro de 2025, continuam a circular versões piratas em fóruns e redes sociais. A campanha afeta organizações em Espanha, França, Portugal, Itália, Bélgica e Países Baixos, utilizando mensagens em vários idiomas e técnicas sofisticadas de evasão. Os investigadores recomendam bloquear os domínios associados e monitorizar ou bloquear serviços de armazenamento em cloud e túneis de rede, caso não estejam a ser utilizados para fins autorizados pela organização.