< Back
red padlock

Tags:

Threat intelligence
20 Março 2026

Resumo Semanal dos ciberataques 12-18 março

O ransomware LeakNet utiliza o ClickFix e o ambiente de execução Deno em ataques furtivos 

Investigadores de cibersegurança informaram que o grupo de ransomware LeakNet está a expandir as suas capacidades através da introdução de novas técnicas de acesso inicial e execução, nomeadamente através da utilização de iscas ClickFix distribuídos através de sites legítimos comprometidos e de um loader em memória baseado em Deno que não tinha sido anteriormente relatado. Isto representa uma mudança estratégica, passando da dependência de intermediários de acesso inicial (IAB) para a realização de campanhas de intrusão autónomas, o que permite ao grupo expandir as suas operações e a sua base de vítimas através de uma distribuição oportunista. 

Um novo malware revela um aumento dos ataques sistemáticos contra a infraestrutura de rede 

Investigadores de cibersegurança identificaram novas amostras de malware que revelam uma tendência crescente e sistemática por parte de agentes maliciosos para utilizar a infraestrutura de rede como vetor de acesso inicial e persistência. As descobertas confirmam que esta atividade já não se limita aos grupos APT de Estados-nação, mas é cada vez mais utilizada por agentes com motivações económicas, incluindo operações de mineração de criptomoedas. Foram observadas duas variantes de malware não documentadas anteriormente: uma nova variante da botnet DDoS CondiBot, derivada do ecossistema Mirai, e o Monaco, um scanner SSH e minerador de criptomoedas multiarquitetura. 

O Hive0163 utiliza o malware Slopoly, assistido por IA, para obter acesso persistente em ataques de ransomware 

Investigadores de cibersegurança relataram que o grupo de ameaças com fins lucrativos Hive0163 utilizou uma estrutura de malware, provavelmente gerada por IA, denominada «Slopoly» durante um ataque de ransomware no início de 2026. Esta atividade revela uma adoção precoce, mas notável, da inteligência artificial por parte de grupos de cibercriminosos para acelerar o desenvolvimento de malware e manter acesso persistente nos ambientes das vítimas. O Hive0163 é conhecido por realizar operações de ransomware em grande escala e campanhas de exfiltração de dados, utilizando frequentemente o ransomware Interlock juntamente com vários encriptadores privados e backdoors, incluindo o NodeSnake, o InterlockRAT e o loader JunkFiction. 

O Storm-2561 utiliza o «SEO Poisoning» para distribuir clientes VPN falsos com o objetivo de roubar credenciais 

A Microsoft Threat Intelligence informou que o grupo de cibercriminosos Storm-2561, motivado por interesses económicos, está a levar a cabo uma campanha de roubo de credenciais que distribui clientes VPN falsos através poisoning de motores de pesquisa (SEO poisoning) para redirecionar os utilizadores que procuram software VPN empresarial legítimo para sites controlados pelos atacantes e para downloads maliciosos. Ativa pelo menos desde maio de 2025, a campanha manipula os resultados dos motores de busca para consultas como «descarregar Pulse VPN» ou «cliente Pulse Secure», o que leva as vítimas a sites falsificados concebidos para imitar fornecedores de VPN de confiança. 

Entrevista contagiosa: malware distribuído através de falsas entrevistas de emprego para programadores 

A equipa de investigação de segurança do Microsoft Defender comunicou uma atividade contínua relacionada com a campanha «Contagious Interview», uma sofisticada operação de engenharia social que está ativa pelo menos desde dezembro de 2022 e que continua a visar programadores de software de fornecedores de soluções empresariais e de empresas do setor dos meios de comunicação e das telecomunicações. Os atacantes aproveitam-se da confiança nos processos de seleção de pessoal, fazendo-se passar por recrutadores de empresas de comércio de criptomoedas ou fornecedores de soluções baseadas em inteligência artificial e realizando processos de entrevista de emprego realistas que incluem contacto, debates técnicos e tarefas de codificação. Durante estas entrevistas simuladas, as vítimas são instruídas a clonar e executar pacotes NPM maliciosos alojados em plataformas como GitHub, GitLab e Bitbucket, que acabam por distribuir malware sob a aparência de tarefas legítimas de avaliação técnica.