Resumo semanal dos ciberataques 26 de junho a 2 de julho
A agência francesa de cibersegurança identifica «Houken», um grupo ligado à China que explora vulnerabilidades críticas
A agência francesa de cibersegurança ANSSI revelou a atividade de um grupo de ameaças avançadas denominado Houken, ativo desde setembro de 2024. Este agente de ameaças explorou vulnerabilidades zero-day em dispositivos Ivanti Cloud Service Appliance, acedendo a redes de setores estratégicos em França, como governo, telecomunicações, meios de comunicação, finanças e transportes. Houken combina ferramentas públicas de origem chinesa com capacidades técnicas avançadas, incluindo rootkits personalizados para Linux que permitem o controlo remoto e a persistência nos sistemas comprometidos. O grupo também usa webshells e túneis proxy em servidores Microsoft Exchange. Após obter acesso inicial, os atacantes movem-se lateralmente, roubam credenciais e instalam backdoors. A ANSSI vincula Houken ao UNC5174, um conjunto de invasões atribuídas ao Ministério de Segurança do Estado chinês, com base em técnicas, ferramentas e infraestruturas comuns. Além da espionagem, o grupo implementou mineradores de criptomoedas Monero, o que sugere objetivos financeiros adicionais. A operação continua ativa em 2025, e a ANSSI alerta que ela representa uma ameaça persistente em escala global.
TransferLoader: nova ameaça em campanhas de phishing com possíveis ligações entre os grupos TA829 e UNK_GreenSec
Em fevereiro de 2025, foi detetado o TransferLoader, um novo downloader ligado a campanhas de phishing semelhantes às do grupo TA829, mas atribuídas ao UNK_GreenSec. A campanha começa com e-mails de supostos candidatos a emprego que redirecionam para o download de um ficheiro executável disfarçado de currículo, com mecanismos avançados de evasão e encriptação. O malware verifica se o nome do ficheiro não foi alterado e resolve dinamicamente funções do Windows por meio de hashes para dificultar a deteção. O TransferLoader decifra dados da sua próxima etapa armazenados em secções específicas do ficheiro usando algoritmos personalizados. Foi observado a descarregar o Metasploit e, em alguns casos, resultando em infeções com o ransomware Morpheus. Desde junho, foram observadas novas versões com infraestrutura mais sofisticada, incluindo links para AWS e uso de proxies e domínios comprometidos. Embora não haja provas conclusivas de uma relação direta entre TA829 e UNK_GreenSec, as semelhanças em técnicas, infraestrutura e malware apontam para uma possível conexão operacional entre os dois atores.
Aumentam os ciberataques globais que roubam dados NFC para pagamentos contactless
Um novo método de ataque que explora dados NFC, detetado pela primeira vez em 2023 na República Checa, espalhou-se rapidamente em todo o mundo. Investigadores informaram que, no primeiro semestre de 2025, os ataques relacionados com NFC multiplicaram-se por 35 em comparação com o semestre anterior. A fraude começa com técnicas clássicas como phishing e malware em aplicações móveis disfarçadas de serviços bancários. Usando ferramentas como NFCGate e o malware NGate, os atacantes enganam as vítimas para que introduzam dados sensíveis e, em seguida, clonam os seus cartões para efetuar pagamentos ou levantamentos sem deixar rasto. Embora tenham sido efetuadas detenções, os ataques persistem e evoluíram sob o nome de «Ghost Tap», permitindo transações fraudulentas a partir de carteiras digitais clonadas. Os especialistas recomendam medidas preventivas, como limitar pagamentos sem contacto, detectar tentativas de phishing e usar soluções de cibersegurança confiáveis.
Foi detetada uma campanha de phishing que se faz passar pela CapCut e pela Apple para roubar credenciais e cartões
Foi identificada uma nova campanha de phishing que aproveita a popularidade da aplicação de edição de vídeo CapCut para enganar os utilizadores. Os atacantes enviam faturas falsas que redirecionam para páginas fraudulentas com aparência da Apple, onde é solicitado o login com o Apple ID. Após capturar as credenciais, são solicitadas informações de cartão de crédito sob o pretexto de emitir um reembolso. Os dados são enviados para servidores controlados pelos cibercriminosos. A campanha inclui uma etapa final com uma falsa verificação de código para retardar a suspeita e prolongar o ataque. Os utilizadores são alertados para sempre verificarem as URLs e desconfiarem de solicitações inesperadas de dados confidenciais.
Hacker britânico “IntelBroker” detido em França por causar prejuízos milionários a vítimas globais
Kai West, cidadão britânico de 25 anos, foi acusado pela justiça norte-americana de liderar uma rede de ciberataques sob o pseudónimo «IntelBroker». De acordo com a Procuradoria do Distrito Sul de Nova Iorque, West e um grupo conhecido como «CyberN[------]» infiltraram-se em redes informáticas de mais de 40 vítimas, incluindo empresas de telecomunicações, prestadores de serviços de saúde e serviços de Internet. Através da sua conta num fórum de pirataria, ofereceu dados roubados em pelo menos 158 ocasiões, com um valor estimado superior a 2 milhões de dólares, causando danos que ultrapassam os 25 milhões em todo o mundo. Foi preso em França em fevereiro de 2025 e os EUA solicitaram a sua extradição. O atacante enfrenta quatro acusações, incluindo fraude informática e eletrónica, com penas de até 20 anos de prisão. O FBI destacou que West chegou a ser identificado como o “proprietário” do fórum de onde operava e usava criptomoedas como Monero para ocultar as suas transações.