< Back
Blue background with padlock

Tags:

Threat intelligence
12 Novembro 2025

Resumo Semanal dos ciberataques 06-12 novembro

O novo KomeX Android RAT chega aos fóruns de hackers através de modelos de subscrição por níveis

Um novo trojan de acesso remoto (RAT) para Android conhecido como KomeX RAT apareceu em fóruns clandestinos, onde é comercializado pelo malicioso Gendirector. O malware é baseado no código-base BTMOB, documentado anteriormente. É comercializado através de um modelo de subscrição por níveis: 500 dólares por uma licença de um mês, 1200 dólares por uma licença vitalícia e 3000 dólares por acesso completo ao código-fonte. O KomeX RAT possui um amplo conjunto de capacidades maliciosas que dão aos atacantes controlo total sobre os dispositivos Android comprometidos. O malware pode conceder automaticamente todas as permissões necessárias e contornar o Google Play Protect, evitando assim uma das principais defesas de segurança do Android. As suas funções de vigilância incluem transmissão de ecrã ao vivo a até 60 fotogramas por segundo, captura de câmara e microfone, leitura/envio/eliminação de SMS, rastreamento de geolocalização com visualização de mapas integrada e uma função de chat forçado que permite a interação direta entre o atacante e a vítima.

O malware Danabot reaparece com a versão 669 após a operação Endgame

O famoso malware bancário Danabot reapareceu com o lançamento da versão 669, marcando seu retorno quase seis meses após a operação policial Endgame, realizada em maio de 2025. Este regresso demonstra que os cibercriminosos responsáveis pelo Danabot conseguiram reagrupar-se e reconstruir a sua infraestrutura de comando e controlo (C2), restaurando eficazmente as operações do malware, apesar dos esforços internacionais para o deter. Os investigadores observaram que a nova variante Danabot 669 incorpora uma rede C2 atualizada e diversificada, que conta com servidores tradicionais baseados em IP e domínios de serviços ocultos baseados em Tor para melhorar a persistência e o anonimato. Além disso, o malware utiliza servidores C2 de reconexão, o que permite o controlo remoto e mantém o acesso contínuo aos sistemas infetados através de ligações shell inversas. A versão atualizada mantém o roubo de criptomoedas como seu objetivo principal.

GTIG alerta para a crescente adoção de malware de IA auto-modificável por parte de agentes maliciosos

O Grupo de Inteligência sobre Ameaças do Google (GTIG) relata uma mudança importante no comportamento dos agentes maliciosos: os atacantes já não utilizam a inteligência artificial apenas para melhorar a produtividade ou como auxílio às ferramentas, mas agora estão a implementar malware habilitado para IA que se modifica dinamicamente durante a sua execução. A última avaliação do GTIG mostra que tanto os grupos patrocinados pelos Estados da Coreia do Norte, Irão e China quanto os cibercriminosos com motivações económicas estão a integrar a IA generativa em todas as fases do ciclo de vida dos ataques, incluindo reconhecimento, desenvolvimento de malware, execução, comando e controlo e exfiltração.

HackedGPT: novas vulnerabilidades da IA abrem a porta para a fuga de dados privados

Foram reveladas sete vul nerabilidades e técnicas de ataque recém-descobertas que afetam o ChatGPT da OpenAI, incluindo o mais recente modelo GPT-5. As falhas permitem a injeção indireta de comandos, a fuga de dados privados dos utilizadores a partir da memória persistente e do histórico de chat, a evasão dos mecanismos de segurança e a persistência a longo prazo nas conversas. O relatório destaca que os adversários podem usar sites confiáveis, resultados de navegação armazenados em cache, links indexados pelo Bing e até mesmo URLs de um único clique para desencadear comportamentos maliciosos sem que o utilizador perceba.

URLs de infeção utilizadas em campanhas regionais de phishing

Foi publicada uma análise detalhada das campanhas de phishing que contornaram as portas de entrada de e-mail seguras (SEG) e distribuíram malware através de «URLs de infeção» incorporadas nos cinco idiomas não ingleses mais utilizados nas operações de phishing a nível mundial: espanhol, tailandês, alemão, chinês e português. As conclusões baseiam-se em dados recolhidos durante dois anos de mais de 35 milhões de funcionários formados em todo o mundo e revelam que as URLs de infeção continuam a ser um vetor de acesso inicial principal e são cada vez mais utilizadas para aceder a serviços legítimos na cloud. Em todos os idiomas estudados, os serviços legítimos foram usados com mais frequência do que os domínios comprometidos ou maliciosos, exceto nas campanhas em chinês e português, nas quais predominaram as infraestruturas controladas pelos atacantes ou comprometidas.