< Back
Abstract background

Tags:

Threat intelligence
26 Fevereiro 2026

Resumo Semanal dos Ciberataques 19-25 de fevereiro

O grupo norte-coreano Lazarus agora trabalha com o ransomware Medusa 

Investigadores de cibersegurança informaram que o grupo Lazarus, ligado ao Estado norte-coreano, ampliou o seu repertório operacional para incluir o ransomware Medusa, uma variante prolífica de ransomware-as-a-service (RaaS) gerida pela operação cibercriminosa Spearwing, em campanhas de extorsão em curso dirigidas a setores críticos como a saúde. O Medusa foi observado em centenas de ataques desde o seu aparecimento como oferta RaaS em 2023, com atores afiliados a encriptar as redes das vítimas e a extorquir as organizações através de uma combinação de táticas de dupla extorsão (encriptação de ficheiros e ameaça de publicar os dados exfiltrados) e técnicas de pressão mais agressivas. 

SURXRAT: RAT para Android descarrega um grande módulo LLM da Hugging Face

O SURXRAT, um trojan de acesso remoto (RAT) comercial para Android, tem evoluído para aproveitar os módulos de modelos de linguagem grande (LLM) hospedados na plataforma Hugging Face como parte do seu comportamento operacional. O SURXRAT é comercializado e distribuído ativamente por meio de um ecossistema de malware-as-a-service (MaaS) baseado no Telegram sob a marca SURXRAT V5, permitindo que afiliados e revendedores criem e implantem versões personalizadas de malware, enquanto os operadores centrais mantêm o controlo da infraestrutura e das atualizações. Esta estrutura modular de malware combina as capacidades tradicionais dos RAT para Android com experiências cada vez mais sofisticadas, como a recolha exaustiva de dados e downloads condicionais de grandes componentes de IA a partir de repositórios de modelos públicos. 

Um agente malicioso assistido por IA compromete mais de 600 dispositivos em 55 países

Foi identificado um agente malicioso de língua russa com motivações económicas que aproveitou vários serviços comerciais de IA generativa para comprometer mais de 600 dispositivos em mais de 55 países entre 11 de janeiro e 18 de fevereiro de 2026. A campanha não explorou nenhuma vulnerabilidade, mas baseou-se em interfaces de gestão expostas e credenciais de autenticação fracas e de fator único, demonstrando como a IA pode ampliar as capacidades de atores com habilidades baixas ou médias para operar em grande escala.

Starkiller: Nova framework de phishing que proxyifica páginas de login reais para evadir MFA

Surgiu uma nova estrutura comercial de phishing conhecida como Starkiller, apresentada como uma plataforma de cibercrime empresarial projetada para atuar como proxy de páginas de login legítimas em tempo real e evadir a autenticação multifator (MFA). Comercializado por um grupo de ameaças que se autodenomina Jinkusu e explicitamente diferenciado da ferramenta legítima de rede da BC Security com o mesmo nome, o Starkiller é distribuído como um produto do tipo SaaS que permite que operadores com baixa qualificação técnica implementem campanhas sofisticadas de phishing man-in-the-middle com conhecimentos técnicos mínimos. Ao contrário dos kits de phishing tradicionais que dependem de clones HTML estáticos de páginas de login, o Starkiller lança uma instância headless do Chrome dentro de um contentor Docker, carrega o site autêntico e opera como um proxy reverso entre a vítima e o serviço legítimo. Como resultado, as vítimas recebem conteúdo HTML, CSS e JavaScript genuíno diretamente do site real através de infraestrutura controlada pelo atacante, eliminando modelos desatualizados e reduzindo a eficácia das defesas baseadas em impressão digital de páginas e listas de bloqueio.

GrayCharlie invade sites de escritórios de advocacia num suposto ataque à cadeia de abastecimento 

 GrayCharlie, um agente malicioso ativo desde meados de 2023 e relacionado ao SmartApeSG (também conhecido como ZPHP ou HANEYMANEY), está a realizar ataques generalizados a sites WordPress para distribuir malware de acesso remoto. O grupo invade sites legítimos injetando JavaScript malicioso que redireciona os visitantes para uma infraestrutura controlada pelos invasores, para finalmente distribuir o NetSupport RAT através de páginas falsas de atualização do browser ou iscos ClickFix. Em vários casos, as infeções progrediram até a implementação do StealC e do SectopRAT, o que sugere um conjunto mais amplo de ferramentas após o comprometimento, com foco no acesso remoto e no roubo de dados. A atividade do GrayCharlie abrange vários setores em todo o mundo, mas foi identificado um grupo notável de pelo menos quinze sites de escritórios de advocacia americanos comprometidos. Os investigadores estimam que este grupo possa ter origem num comprometimento da cadeia de abastecimento que envolve um fornecedor de IT partilhado.