Resumo Semanal dos Ciberataques 28 agosto-03 setembro
RapperBot: Da infeção ao DDoS numa fração de segundo
Novos detalhes sobre a botnet RapperBot vieram à tona. Este malware, semelhante ao Mirai, transforma dispositivos IoT vulneráveis, como gravadores de vídeo em rede (NVR), em ferramentas para scanning e lançamento de ataques DDoS em massa. A campanha foi detetada pela primeira vez quando um NVR infetado exibiu uma mensagem suspeita de “atualização” antes de inundar repentinamente a rede com pacotes UDP direcionados à porta 80 e fazer scanning da Internet em busca de serviços Telnet abertos na porta 23. Uma investigação mais aprofundada revelou que o malware se infiltra nos dispositivos através de uma cadeia de exploração específica: uma fuga de caminho do servidor web para obter as credenciais de administrador, seguida de uma ligação à porta de gestão do dispositivo (TCP 34567), onde é enviada uma atualização de firmware falsa. Esta atualização monta um recurso partilhado NFS remoto para executar binários maliciosos, um método escolhido porque o firmware do NVR não é compatível com utilitários de download comuns, como curl e wget. O malware, após a sua execução, apaga-se a si próprio e é executado na memória, baseando-se na reinfeção contínua.
Uma campanha avançada do Lazarus usa PondRAT, ThemeForestRAT e RemotePE em ataques ao setor financeiro
Especialistas em cibersegurança da Fox-IT e do NCC Group documentaram as atividades de um subgrupo do Lazarus Group que continua a atacar organizações do setor financeiro e de criptomoedas usando uma combinação de três trojans de acesso remoto (RAT): PondRAT, ThemeForestRAT e RemotePE. Este subgrupo, que se sobrepõe à atividade anteriormente atribuída a AppleJeus, Citrine Sleet, UNC4736 e Gleaming Pisces, foi observado em vários casos de resposta a incidentes, incluindo um em 2024 em que os três RAT foram implementados sequencialmente. A cadeia de ataque geralmente começa com sofisticadas campanhas de engenharia social realizadas através do Telegram, nas quais os atacantes se fazem passar por funcionários de empresas legítimas de comércio e investimento, utilizando sites e plataformas de reunião falsos. Em pelo menos um caso, os investigadores suspeitam que um exploit zero-day do Chrome foi usado para executar código no computador da vítima, seguido pela implementação do PondRAT como ponto de apoio inicial. A persistência foi alcançada usando o serviço SessionEnv do Windows através do carregamento de DLL fantasma com um loader personalizado chamado PerfHLoader, que concedia privilégios elevados para contornar os controlos de segurança. O PondRAT, um RAT multiplataforma simples que se acredita ser o sucessor do POOLRAT (SimpleTea), foi usado para ler e gravar ficheiros, executar comandos e carregar código shell ou payloads adicionais. Apesar da sua simplicidade, serviu como ponto de entrada para malware mais avançado.
Ameaças avançadas direcionadas a fãs e equipas de Fórmula 1 antes do Grande Prémio da Holanda
Os cibercriminosos estão a atacar cada vez mais os fãs, equipas e organizações associadas à Fórmula 1 às vésperas do Grande Prémio da Holanda em Zandvoort. Os investigadores relatam que o panorama das ameaças evoluiu significativamente para além dos tradicionais esquemas de bilhetes, e que os atacantes agora empregam técnicas muito avançadas, como deepfakes impulsionados por IA, aplicações móveis maliciosas, pacotes de hospitalidade fraudulentos, esquemas com NFT e criptomoedas, roubo de dados de telemetria e compromissos da cadeia de abastecimento. Os ataques deepfake estão entre os desenvolvimentos mais preocupantes, uma vez que os criminosos se fazem passar por executivos da equipa para cometer fraudes ou prejudicar a reputação. Num caso ocorrido em 2024, a Ferrari evitou por pouco perdas depois de um burlão que se fazia passar pelo diretor executivo Benedetto Vigna ter sido descoberto apenas graças a uma resposta personalizada a um desafio. Recentemente, Toto Wolff confirmou a existência de pornografia deepfake usando sua imagem, o que destaca como pessoas de alto perfil da F1 estão se tornando alvos de engenharia social. Ao nível dos fãs, proliferam aplicações móveis maliciosas relacionados à F1, desde aplicações fantasmas que se escondem nos dispositivos enquanto realizam operações fraudulentas até jogos falsificados e aplicações de streaming não autorizados que instalam malware persistente.
CVE-2025-6543 explorada como zero-day desde maio de 2025
O investigador Kevin Beaumont, da DoublePulsar, revelou que a Citrix não informou que a vulnerabilidade CVE-2025-6543 estava em exploração ativa como zero-day desde pelo menos maio de 2025. Embora a Citrix tenha corrigido o problema no final de junho, descrevendo-o como uma falha de buffer de memória que poderia causar desvios involuntários no fluxo de execução ou Denial of Service (DoS), Beaumont afirma que a vulnerabilidade permitia, na verdade, a execução remota de código, facilitando aos atacantes a implementação de webshells, a manutenção de acesso persistente aos sistemas NetScaler e a permanência ocultos mesmo após a aplicação do patch. As observações de Beaumont são apoiadas pelo relatório do NCSC Países Baixos, que confirma a exploração desde o início de maio e indica que os atacantes apagaram ativamente vestígios forenses, dificultando a resposta a incidentes. As comunicações oficiais da Citrix não mencionavam a capacidade de execução remota ou persistência, minimizando a gravidade ao se concentrar principalmente em DoS. Os avisos de segurança foram atualizados para refletir a exploração ativa, e os clientes são instados a aplicar os patches disponíveis e investigar possíveis compromissos. Até o momento, a identidade específica do autor por trás desses ataques é desconhecida.
Vulnerabilidade crítica no Passwordstate permite omitir a autenticação
A 29 de agosto de 2025, a Click Studios lançou um patch para uma vulnerabilidade de alta gravidade no seu gestor de passwords corporativo Passwordstate, pedindo a todos os seus utilizadores que atualizem imediatamente para a Build 9.9 Build 9972. A falha permite que um invasor aceda à secção de administração da aplicação, criando uma URL específica que explora a página de Acesso de Emergência, contornando completamente a autenticação e obtendo acesso não autorizado com privilégios de administrador. Como medida temporária, os utilizadores podem limitar o acesso através do campo “Emergency Access Allowed IP Address” (Endereço IP permitido para acesso de emergência) nas configurações do sistema, embora a empresa enfatize que isso oferece apenas uma mitigação parcial. É altamente recomendável aplicar a atualização completa o mais rápido possível para garantir a proteção total do sistema.