< Back
keyboard with the word malware

Tags:

Threat intelligence
26 Setembro 2025

Weekly Summary Cyberattacks September 18-24

ShadowV2: uma nova botnet dedicada a ataques DDoS sob encomenda

Investigadores de cibersegurança descobriram o ShadowV2, uma nova botnet DDoS que utiliza malware baseado em Python e Go, contentores Docker e tecnologias DevOps modernas. Ao contrário das botnets tradicionais, a ShadowV2 funciona como uma plataforma de cibercrime como serviço, com APIs modulares, técnicas avançadas de evasão e uma interface de operador sofisticada. A campanha começa com uma estrutura de comando e controlo baseada em Python alojada no GitHub CodeSpaces. O acesso inicial é obtido através de um propagador Python que aponta para daemons Docker expostos no AWS EC2, que gera contentores genéricos de “configuração” antes de criar imagens maliciosas diretamente nos hosts comprometidos. Esta tática pode ajudar os atacantes a evitar deixar vestígios forenses.

Nimbus Manticore lança novo malware direcionado à Europa

Foi descoberta uma sofisticada campanha de ciberespionagem realizada pelo grupo ligado ao Irão conhecido como Nimbus Manticore, também rastreado como UNC1549, Smoke Sandstorm e associado à operação Iranian Dream Job. O grupo intensificou a sua atividade na Europa Ocidental, concentrando-se especialmente na Dinamarca, Suécia e Portugal, enquanto continua a atacar os setores de fabrico de material de defesa, telecomunicações e aviação, que se ajustam às prioridades estratégicas do IRGC. A campanha baseia-se num spear-phishing altamente personalizado, no qual os atacantes se fazem passar por recrutadores de recursos humanos de importantes empresas aeroespaciais e de defesa. As vítimas são atraídas para portais de emprego falsos criados com modelos React e recebem credenciais únicas para controlar o acesso. Depois de fazerem login, descarregam inadvertidamente ficheiros maliciosos que ativam uma cadeia de carregamento lateral de DLL em várias etapas, abusando de APIs de baixo nível do Windows não documentadas para manipular as rotas de pesquisa de DLL e roubar binários legítimos, incluindo os do Windows Defender.

Investigadores descobrem malware habilitado para LLM

Investigadores de cibersegurança descobriram dados importantes sobre o fenómeno emergente do malware habilitado para LLM, uma nova classe de ameaças que integra modelos de linguagem LLM diretamente no software malicioso. Ao contrário do malware tradicional, que incorpora lógica maliciosa no seu código, esta nova geração pode gerar dinamicamente comandos ou payloads prejudiciais em tempo de execução, o que complica tanto a detecção estática quanto a dinâmica. A SentinelLABS identificou essas ameaças concentrando-se nas chaves API incorporadas e nas estruturas de prompts codificadas, que continuam a ser dependências necessárias para os adversários que aproveitam os serviços LLM comerciais. A investigação destacou várias formas de uso malicioso de LLM, incluindo a distribuição por adversários de ferramentas falsas baseadas em IA como iscos, a exploração de sistemas empresariais vulneráveis integrados com LLM, a utilização de LLM como assistentes para phishing ou geração de código e a incorporação de capacidades LLM diretamente no malware.

ShadowLeak: a primeira vulnerabilidade de injeção indireta de prompts sem cliques

Investigadores de cibersegurança da Radware revelaram e a OpenAI confirmou a correção de uma vulnerabilidade recém-descoberta chamada ShadowLeak, descrita como a primeira falha de injeção indireta de comandos (IPI) sem clique e com fuga do lado do serviço nas integrações empresariais do ChatGPT. O problema foi identificado no agente Deep Research do ChatGPT, que permite ao modelo conectar-se a serviços como Gmail, GitHub, Google Drive e SharePoint para resumir, pesquisar e analisar os dados dos utilizadores. Os investigadores descobriram que um atacante poderia explorar a vulnerabilidade enviando um e-mail de aparência legítima com instruções maliciosas invisíveis ocultas em texto branco sobre branco, fontes minúsculas ou metadados. Quando um funcionário posteriormente solicitava ao ChatGPT que resumisse ou pesquisasse sua caixa de entrada, o agente automaticamente ingeria a mensagem infetada e filtrava dados confidenciais, como nomes, endereços, comunicações internas, dados de transações ou credenciais, para uma URL controlada pelo atacante. O que diferenciava o ShadowLeak dos exploits de injeção rápida revelados anteriormente era que a fuga de dados se originava diretamente nos servidores da OpenAI, em vez de no dispositivo do utilizador.

A operação Warlock da GOLD SALEM junta-se ao concorrido panorama do ransomware

Investigadores de cibersegurança estão a seguir um grupo de ransomware que se identifica como Warlock Group, ao qual chamam GOLD SALEM. Este grupo, também conhecido pela Microsoft como Storm-2603 e que se acredita com moderada certeza ser um agente malicioso sediado na China, está ativo desde março de 2025. O GOLD SALEM comprometeu redes em todo o mundo, lançando o seu ransomware Warlock contra uma série de organizações, incluindo pequenas empresas, entidades governamentais e corporações multinacionais da América do Norte, Europa e América do Sul. O grupo evita atacar a China e a Rússia, mas em setembro incluiu notavelmente uma empresa de engenharia russa no seu site de fugas de informação, uma medida invulgar dada a resposta agressiva do governo russo a incidentes de ransomware nacionais. O GOLD SALEM opera um site dedicado à fuga de dados (DLS) baseado no Tor, no qual, em meados de setembro, tinha nomeado 60 vítimas. Destas, os dados de 19 vítimas (32 %) foram divulgados publicamente, enquanto o grupo afirma ter vendido os dados de 27 vítimas (45 %) a compradores privados, embora estes números possam ser exagerados.