< Back
Red programming code displayed on a dark screen, forming the silhouette of a skull, symbolising cyberthreats.

Tags:

Threat intelligence
25 Março 2026

Resumo semanal dos ciberataques 19-25 de março

5 pacotes maliciosos do npm que se aproveitam de erros ortográficos nas bibliotecas da Solana e da Ethereum para roubar chaves privadas 

Investigadores de cibersegurança identificaram uma campanha maliciosa no npm que envolvia cinco pacotes publicados sob a conta «galedonovan», os quais se faziam passar por bibliotecas legítimas de criptomoedas através de typosquatting para roubar chaves privadas a programadores que trabalham com Solana e Ethereum. Os pacotes (raydium-bs58, base_xd, base-x-64, bs58-basic e ethersproject-wallet) fazem-se passar por bibliotecas de uso generalizado, como bs58, base-x e @ethersproject/wallet, e extraem material de chaves confidenciais através de um bot do Telegram codificado de forma fixa, com uma infraestrutura de comando e controlo (C2) cuja atividade foi confirmada a 23 de março de 2026. 

FBI: Hackers atacam os seus adversários com malware no Telegram 

O Federal Bureau of Investigation (FBI) alertou para uma atividade maliciosa em curso levada a cabo por agentes ligados ao Ministério da Inteligência e Segurança do Irão (MOIS), que estão a utilizar o Telegram como infraestrutura de comando e controlo (C2) para distribuir malware contra dissidentes iranianos, jornalistas e grupos da oposição em todo o mundo. A campanha, observada pelo menos desde 2023, baseia-se numa estrutura de malware em várias fases direcionada a sistemas Windows, que combina engenharia social com técnicas de distribuição personalizadas para aumentar o sucesso da infeção. Os atacantes fazem-se passar por pessoas de confiança ou pelo serviço de assistência técnica através de plataformas de mensagens para persuadir as vítimas a descarregarem aplicações trojanizadas camufladas como software legítimo, como o Telegram, o KeePass, o Pictory ou o WhatsApp. 

O novo malware bancário para Android, Perseus, monitoriza as aplicações de notas 

Investigadores de cibersegurança revelaram uma nova família de malware bancário para Android chamada Perseus, concebida para permitir a tomada de controlo do dispositivo (Device Takeover ou DTO) e a fraude financeira avançada. O malware é distribuído ativamente através de phishing e aplicações maliciosas, aproveitando o abuso dos Serviços de Acessibilidade (Accessibility Services) do Android para obter um controlo total sobre os dispositivos infetados. Uma vez instalado, o Perseus permite que os atacantes realizem sessões remotas em tempo real, o que lhes permite interagir de forma completa com o dispositivo da vítima e contornar muitos mecanismos tradicionais de deteção de fraudes.

Isco relacionada com direitos de autor disfarça um ataque multifásico do Stealer PureLog em setores-chave 

Investigadores da Trend Micro descobriram uma campanha de malware multifásica e direcionada que distribui o infostealer PureLog, que utiliza iscos relacionados com violação de direitos de autor para enganar as vítimas e levá-las a executar ficheiros maliciosos. A campanha baseia-se em documentos de phishing localizados e em idiomas específicos, disfarçados de avisos legais, o que aumenta significativamente a probabilidade de interação por parte do utilizador. A seleção de alvos observada concentra-se nos setores da saúde, governo, hotelaria e educação, com atividade notável em países como a Alemanha e o Canadá, o que indica uma vitimologia seletiva e impulsionada por inteligência, em vez de uma abordagem ampla e oportunista. A cadeia de infeção é altamente estruturada e evasiva, consistindo em múltiplas etapas concebidas para dificultar a deteção e a análise. 

A proliferação do DarkSword: uma cadeia de vulnerabilidades para iOS adotada por vários agentes maliciosos 

O Grupo de Threat Intelligence da Google (GTIG) identificou o DarkSword, uma nova cadeia de exploits para iOS que explora seis vulnerabilidades, incluindo várias zero-day, para comprometer totalmente dispositivos com iOS 18.4 a 18.7 e instalar malware de fase final com privilégios completos de kernel. O GTIG afirmou que, pelo menos desde novembro de 2025, o DarkSword tem sido utilizado por múltiplos agentes maliciosos, incluindo fornecedores de vigilância comercial e supostos agentes patrocinados pelo Estado, em campanhas direcionadas a utilizadores da Arábia Saudita, Turquia, Malásia e Ucrânia. O GTIG também associou a cadeia de exploits a três famílias distintas de malware de pós-exploração: GHOSTBLADE, GHOSTKNIFE e GHOSTSABER.