Resumo semanal dos ciberataques de 3 a 9 de julho
Ataque TapTrap, um tapjacking baseado em animações no Android
Os investigadores descobriram um novo tipo de ataque direcionado a dispositivos Android, chamado TapTrap. O TapTrap permite que uma aplicação maliciosa aproveite as animações da interface do Android para contornar os sistemas de permissões. Desta forma, os utilizadores são enganados para permitir o acesso a dados confidenciais e a realização de outras ações destrutivas. Quando a aplicação maliciosa é instalada, é iniciada uma atividade transparente e inofensiva sobre outra maliciosa. O TapTrap cria um desfasamento visual com os utilizadores, que supostamente interagem com uma aplicação visível, mas os seus toques são registados no ecrã oculto. A aplicação pode usar isso para atrair o utilizador a tocar em áreas específicas do ecrã que correspondem a ações confidenciais no ecrã oculto, permitindo-lhe realizar ações sem o conhecimento do utilizador. Ao contrário do tapjacking tradicional baseado em sobreposições, os ataques são capazes de funcionar com aplicações sem autorização. De acordo com os investigadores, o ataque funciona na versão mais recente do Android. Em julho de 2025, os navegadores já resolveram o problema, mas o Android continua vulnerável.
NordDragonScan ataca utilizadores do Windows para roubar credenciais de início de sessão
Os investigadores descobriram uma infraestrutura de distribuição ativa que hospeda um script HTA malicioso e descarrega silenciosamente o infostealer «NordDragonScan» nos ambientes das vítimas. O malware tem como alvo os sistemas Microsoft Windows. O ataque aproveita URLs encurtadas que conduzem a sites falsos de partilha de ficheiros que distribuem ficheiros RAR maliciosos camuflados como documentos ucranianos. Os ficheiros RAR contêm um atalho LNK criado para executar o utilitário «mshta.exe» da Microsoft e executar a payload HTA incorporada. Uma vez executado, o malware copia o PowerShell.exe para um diretório público e renomeia-o como «install.exe» para ocultar a sua presença ao software de segurança. Uma vez instalado, o infostealer verifica o host e copia documentos, recolhe perfis completos do Chrome e Firefox e realiza capturas de ecrã. Os dados roubados são enviados através de TLS e filtrados através do servidor de comando e controlo «kpuszkiev.com». Esta infraestrutura também permite aos hackers determinar se a vítima continua conectada e solicitar dados adicionais.
Forças de segurança espanholas desmantelam rede de fraude de investimentos
As autoridades espanholas desmantelaram uma operação de fraude cibernética que causou perdas no valor de mais de 10 milhões de euros em Espanha através de plataformas falsas de criptomoedas e investimentos financeiros. A rede criminosa, ativa desde 2022, era dirigida por um grupo que se fazia passar por especialistas financeiros. O grupo entrava em contacto com as vítimas através de centros de atendimento falsos com consultores financeiros falsos e anúncios falsos nas redes sociais que redirecionavam para sites de investimento falsos e portais de criptomoedas. Os investimentos eram supostamente feitos em empresas de renome e, no início, as vítimas eram autorizadas a fazer alguns levantamentos para ganhar a sua confiança. Quando os investimentos ficavam mais elevados, o acesso aos fundos era bloqueado. A rede criminosa foi desmantelada numa operação coordenada em Barcelona, Madrid, Maiorca e Alicante. As autoridades detiveram 21 suspeitos e apreenderam 1,3 milhões de euros em dinheiro e criptomoedas, além de sete veículos de luxo.
Foram detetadas mais de 40 extensões maliciosas do Firefox destinadas a roubar criptomoedas
Investigadores de cibersegurança descobriram mais de 40 extensões maliciosas no Mozilla Firefox destinadas a roubar chaves de carteiras de criptomoedas. Estas extensões substituíam ferramentas legítimas como Coinbase, MetaMask, Trust Wallet ou Exodus, replicando os seus nomes e logótipos. A campanha, ativa pelo menos desde abril de 2025, utilizava táticas como avaliações falsas de cinco estrelas para aparentar popularidade e ganhar credibilidade junto aos utilizadores. Além disso, os atacantes aproveitavam o código aberto de algumas extensões originais para inserir funcionalidades maliciosas sem alterar a experiência do utilizador. Essas extensões também recolhiam endereços IP das vítimas e enviam dados roubados para servidores remotos. Ao contrário do phishing tradicional, o ataque ocorria dentro do próprio navegador, o que dificultava a sua deteção. A Mozilla já removeu quase todas as extensões identificadas e afirma ter implementado um sistema para bloquear ameaças semelhantes antes que elas se propaguem.
Aumenta o uso de ficheiros PDF em campanhas de phishing
Foi detetado um aumento significativo nos ataques de phishing que utilizam ficheiros PDF para se fazerem passar por marcas conhecidas como Microsoft, Adobe, PayPal ou Geek Squad. Estes documentos, enviados como anexos em e-mails, incluem frequentemente logótipos falsificados, códigos QR ou links ocultos que redirecionam para páginas de phishing. Uma técnica em ascensão é o callback phishing ou TOAD, em que os atacantes induzem as vítimas a ligar para números de telefone controlados por eles para extrair informações confidenciais. Esses números, principalmente VoIP, costumam ser reutilizados durante vários dias e são difíceis de rastrear. Também foram detetados abusos de plataformas de assinatura eletrónica para distribuir esses arquivos. Além disso, os atacantes utilizam anotações invisíveis dentro dos PDFs para ocultar links maliciosos e evitar os sistemas de segurança tradicionais.