Grande parte dos problemas desta semana começa com algo que parece plausível demais.
Um repositório conhecido.
Um instalador útil.
Uma configuração de sincronização aparentemente inofensiva.
Depois, a transferência dá errado, a máquina passa a se comunicar com outra parte e o dano avança mais rápido do que a explicação.
Bugs antigos voltaram à cena, padrões fracos seguem sendo explorados e alguns caminhos de ataque são tão óbvios que quase não parecem pesquisa.
Veja o cenário.
Cheats de jogos distribuem spyware
Pesquisadores de cibersegurança identificaram 11 pacotes maliciosos do NuGet publicados como ferramentas de linha de comando .NET que se apresentavam como utilitários para jogos, bots e “painéis”.
Na prática, todos atuavam como um downloader de primeira etapa, responsável por buscar e executar um payload Python de segunda etapa chamado “pepesoft.exe”, hospedado no GitHub Releases e no Hugging Face sob o nome de usuário “pepegit666”.
O pacote também trazia um mecanismo de fallback inativo baseado em BitTorrent.
Segundo a Socket, os payloads recuperados usam material de chaves no estilo AWS fornecido pelo próprio downloader para obter configuração remota, autenticar no Google Sheets, vincular ativações ao hardware e respeitar uma lista remota de bloqueio por HWID/UUID.
Em três dos payloads analisados, a aplicação maior de automação de jogos também expõe comandos de bot do Telegram capazes de enviar capturas de tela de volta ao chat configurado.
Instaladores falsos entregam RATs
O grupo UAT-11795, um adversário sofisticado, de língua russa e motivado financeiramente, foi flagrado conduzindo uma campanha maliciosa contra usuários nos EUA e na Europa desde, pelo menos, junho de 2025.
A atividade distribui uma ferramenta de acesso remoto baseada em Python, batizada de Starland RAT, e um implantador em memória de command and control, conhecido como WLDR agent, usando instaladores adulterados como isca para softwares como ferramentas de desenvolvimento, utilitários de administração de TI, plataformas de colaboração corporativa e aplicativos de jogos, entre eles MobaXterm, WebEx, Zoom, DBeaver e FaceIT.
Segundo a Cisco Talos, o WLDR agent é um implantador em memória baseado em PowerShell, com beaconing criptografado, fila de tarefas e um mecanismo de execução Runspace para rodar payloads adicionais.
Em outras campanhas, o UAT-11795 também foi ligado à distribuição de CastleStealer e Remcos RAT.
O malware é projetado para roubar credenciais e ativos de carteiras de criptomoedas, coletar informações do Active Directory e manter conexão persistente com as máquinas das vítimas a partir do servidor C2, provavelmente com o objetivo de entregar e executar novos payloads.
A maioria das infecções está nos EUA, com impactos potenciais menores registrados na Alemanha, Romênia e Venezuela.
A cadeia de ataque usa iscas do tipo ClickFix para distribuir scripts HTA, que então baixam e executam instaladores adulterados.
Em seguida, o Starland RAT usa “curl.exe” para executar um stager em PowerShell que descriptografa e roda o WLDR agent.
Nas últimas semanas, o ClickFix também serviu como canal para TELEPUZ, um malware modular, e para o ClickLock Stealer, voltado ao macOS e focado em roubo de informações e carteiras de criptomoedas, com vítimas na Europa, América do Norte e Oriente Médio e África.
Segundo a Group-IB, o ClickLock Stealer mira dados de oito navegadores, 31 extensões de carteiras de criptomoedas e sete extensões de gerenciadores de senhas, além de oito aplicativos de carteira para desktop.
Também extrai endereços de blockchain em seis redes, dados do macOS Keychain, histórico do shell e credenciais de FTP.
Rede infectada em menos de 24 horas
Uma empresa de serviços de TI no sul da Ásia foi alvo de uma família de ransomware até então não documentada, chamada Spirals, em junho de 2026.
Segundo a equipe Threat Hunter da Symantec e da Carbon Black, da Broadcom, o payload baseado em Rust pode ser uma nova ameaça de ransomware ou ter sido criado especificamente para esse ataque.
Menos de 24 horas após a violação inicial, o payload já estava sendo espalhado pelas máquinas da rede.
O invasor teria obtido acesso inicial ao comprometer um servidor web IIS exposto na internet e enviar um web shell ASP.NET.
Nas três horas seguintes, consolidou o acesso persistente, fez reconhecimento, desinstalou software de segurança de endpoint, coletou a hive Security Account Manager, ou SAM, e montou acesso remoto furtivo antes de distribuir o payload pela rede com o PsExec.
A nota de resgate tenta pressionar a vítima ameaçando publicar dados roubados após seis dias, caso o pagamento não seja feito, e direciona a negociação para um portal na rede Tor.
Até agora, o grupo por trás do ataque segue desconhecido.
Falhas ativamente exploradas
A CISA adicionou ao catálogo KEV a
CVE-2026-46817
, uma vulnerabilidade de gerenciamento inadequado de privilégios no Oracle E-Business Suite, e a
CVE-2023-4346
, uma falha de mecanismo de bloqueio de conta excessivamente restritivo no KNX Association KNX Protocol Connection Authorization Option 1.
Órgãos federais dos EUA devem aplicar as correções até 18 e 29 de julho de 2026, respectivamente.
Relatos de exploração ativa da
CVE-2026-46817
surgiram no fim do mês passado.
Já a forma de abuso da falha no KNX Protocol e os responsáveis ainda não foram identificados.
Novas regras para relatos de vulnerabilidades
Em parceria com a NSA, o JPCERT/CC, o NCSC-NL e o NCSC-UK, a CISA publicou uma orientação conjunta para ajudar fabricantes de software e provedores de serviços online a colaborar de forma mais eficaz com pesquisadores de segurança que identificam fraquezas em software, redes e hardware, dentro de um processo estruturado e transparente.
A agência afirma que um programa bem definido de divulgação coordenada de vulnerabilidades, ou CVD, permite que fabricantes e provedores avaliem melhor os riscos potenciais, aprimorem seus processos de gestão de vulnerabilidades e tomem decisões mais informadas para elevar a segurança de seus produtos.
Rede global de golpes com 700 pessoas é desmontada
Autoridades da Holanda prenderam um homem de 46 anos, com cidadania israelense e polonesa, acusado de liderar uma organização criminosa internacional com mais de 700 funcionários distribuídos em cerca de 20 call centers fraudulentos.
Os envolvidos se passavam por consultores financeiros para aplicar golpes de investimento.
“Ao manter contato regular, às vezes por meses, esses golpistas constroem um vínculo de confiança com as vítimas”, disse a polícia holandesa.
“O depósito inicial é sempre um valor relativamente pequeno, que gera lucro imediato.
A plataforma online onde as vítimas acompanham seus investimentos é indistinguível da real, mas, na prática, nenhum investimento é feito.
Os golpistas usam uma abordagem amigável e táticas astutas para levar as vítimas a depositar quantias cada vez maiores.
O dinheiro, muitas vezes em criptomoedas, que as vítimas acreditam estar investindo acaba nos bolsos dos golpistas.”
A operação também levou à prisão de quatro “consultores financeiros”.
Polícia espanhola derruba rede de cibercrime de € 140 milhões
A Polícia Nacional da Espanha desarticulou uma rede de cibercrime acusada de roubar e lavar cerca de € 140 milhões por meio de plataformas falsas de investimento, fraude do CEO, fraude de faturas e ataques adversary-in-the-middle em vários países da Europa.
Quatro pessoas foram presas em conexão com a operação: duas em Portugal, uma na Espanha e uma no Panamá.
Segundo a polícia, os suspeitos criaram e administraram uma rede com mais de 800 contas bancárias para receber grandes somas de dinheiro ilícito obtidas de inúmeras vítimas.
Os fundos eram imediatamente dispersados e ocultados em outra rede de contas, criando uma cadeia de transações que protegia os lucros criminosos e permitia ocultar e lavar o dinheiro por meio de contas de “mulas financeiras” em países terceiros.
Para montar a complexa teia de contas usada na lavagem, o grupo utilizou uma ampla rede de mulas financeiras, cidadãos europeus que chegaram à Espanha vindos de outros países, para abrir empresas e, em seguida, contas bancárias em território espanhol.
Bind links do Windows para driblar EDR
A Bitdefender Labs demonstrou três técnicas de ataque em que os bind links do Windows podem ser usados para burlar produtos de endpoint detection and response, ou EDR.
“O Windows inclui um recurso de virtualização do sistema de arquivos que pode redirecionar um caminho local para outro sem modificar o arquivo original nem deixar um artefato persistente no sistema de arquivos”, disse Martin Zugec, da Bitdefender.
“Ele é implementado por bindflt.sys, o minifiltro Bind Filter, e usado legitimamente por aplicativos da Store, Windows Sandbox e containers do Windows.”
As técnicas podem ser exploradas por um atacante com privilégios de administrador local para contornar sensores de EDR e defesas nativas do Windows, como AMSI e AppLocker.
Os métodos incluem File-Binding, Process-Binding e Silo-Binding, cada um capaz de ocultar um caminho confiável de arquivo ou DLL, um caminho confiável de executável e um silo do Windows definido pelo usuário.
A Microsoft avaliou os achados como de baixa gravidade, já que exigem acesso de administrador.
Mais de 290 repositórios falsos espalham infostealer
Um threat actor motivado financeiramente montou mais de 290 repositórios falsos no GitHub, imitando fornecedores confiáveis de software e ferramentas de segurança, incluindo a Arctic Wolf, para distribuir um infostealer para Windows que compartilha a mesma base de código do BoryptGrab.
Os 292 repositórios falsificados abrangem ferramentas de segurança, fintech e finanças pessoais, carteiras e exchanges de criptomoedas, ferramentas de desenvolvimento e produtividade, provedores de e-mail seguro, utilitários para macOS e software de jogos.
Segundo a Arctic Wolf, “o payload é um infostealer puro, do tipo smash-and-grab, executado em memória, com uma tabela de 41 caminhos de carteiras de criptomoedas e mais de 19 nomes de navegadores visados para coleta ampla de credenciais com motivação financeira”.
Os dados roubados são empacotados em um arquivo ZIP e exfiltrados para um C2 com IP localizado na Rússia, em uma provedora de hospedagem repetidamente associada a operações de malware.
O malware não estabelece persistência na máquina e foi desenhado para coletar o máximo de dados possível em uma única execução.
A campanha de brandjacking seria obra de um operador de língua russa.
Indiciamento em caso de cibercrime de US$ 62 milhões
O Departamento de Justiça dos EUA tornou pública uma acusação apresentada em dezembro de 2024 contra três cidadãos russos e duas empresas de hospedagem blindada por seu envolvimento em crimes cibernéticos contra vítimas nos EUA, que causaram perdas de dezenas de milhões de dólares.
Os acusados são Alexander Alexandrovich Volosovik, Kirill Andreevich Zatolokin, Yulia Vladimirovna Pankova, Media Land LLC e ML.Cloud LLC.
Em paralelo, o programa Rewards for Justice, do Departamento de Estado dos EUA, anunciou recompensa de até US$ 10 milhões e possível realocação para informações acionáveis sobre associados de governos estrangeiros ligados a Pankova, Volosovik e Zatolokin, suas atividades cibernéticas maliciosas ou o uso, por governos estrangeiros, da Media Land ou da ML.Cloud.
Os réus e as empresas foram sancionados pelos EUA, Reino Unido e Austrália em novembro de 2025.
No início desta semana, o Conselho da União Europeia também impôs sanções à Media Land, à ML.Cloud e a Volosovik, dentro do primeiro pacote conjunto de sanções cibernéticas contra a Rússia em cooperação com o Reino Unido.
Sincronização do Chrome vira instrumento de vigilância
Uma técnica legítima de sincronização do Chrome, criada para facilitar a vida do usuário, está sendo abusada por stalkers para obter acesso amplo a informações privadas do dono de um dispositivo.
“A função de sincronização do Chrome existe para simplificar a vida”, afirmou a Certo.
“Faça login com uma conta do Google e o Chrome manterá seus favoritos, abas abertas, histórico de navegação, dados de preenchimento automático e senhas salvas em sincronia entre todos os dispositivos que você usar, seja telefone, tablet, laptop ou qualquer outro.”
Mas isso pode ser transformado em ferramenta de vigilância em um passo simples.
Basta que o intruso consiga acesso físico breve ao telefone da vítima, abra o aplicativo do Chrome, adicione uma conta Google sob seu controle e garanta que a sincronização esteja ativada para essa conta.
“A vítima continua usando o telefone normalmente”, explicou a Certo.
“A partir desse ponto, a atividade de navegação passa a ser copiada em segundo plano para a conta Google do atacante.
Ele então abre a mesma conta em seu próprio dispositivo e consulta o histórico de navegação da vítima quando quiser, de qualquer lugar com conexão à internet.”
Campanha de phishing usa eCards e ferramentas de acesso remoto
Uma campanha de phishing persistente, batizada de SeasonalInvite, vem sendo observada desde, pelo menos, janeiro de 2026.
Ela usa e abusa de ferramentas comerciais de monitoramento e gerenciamento remoto, ou RMM, em ataques contra usuários de Windows e macOS com temas de engenharia social ligados ao calendário sazonal.
Os ataques envolvem o uso indevido de ConnectWise ScreenConnect, LogMeIn Resolve, Kaseya e O&O Syspectr.
As páginas falsas provavelmente são distribuídas por e-mails de phishing e resultados de busca adulterados.
A Forescout disse ter identificado 959 domínios temáticos de eCards e um sistema de distribuição de tráfego, ou TDS, usando 2.658 páginas de entrada para encaminhar as vítimas a páginas de phishing enquanto bloqueia scanners automatizados.
Segundo a empresa, as páginas de phishing são geradas por um kit e contêm indícios de código provavelmente produzido por IA, sugerindo que o threat actor usou um grande modelo de linguagem, ou LLM, para montar rapidamente as páginas de entrega e adaptar a campanha.
Códigos OAuth contornam MFA
Pesquisadores de cibersegurança identificaram um novo kit de phishing de código de dispositivo com apoio de IA, chamado Jalisco, além de um coletor de credenciais codinome OmegaLord, que captura números de telefone junto com senhas para interceptar códigos de MFA.
“Jalisco é um kit de phishing de código de dispositivo que provisiona novos códigos OAuth em tempo real, derrotando os controles baseados em tempo que os defensores usam e combinando naturalmente com kits alimentados por IA como o ‘EvilTokens’”, disse a ReliaQuest.
“O OmegaLord, por sua vez, é um coletor de credenciais baseado em JavaScript que se passa por um leitor de PDF e coleta números de telefone junto com credenciais, um passo deliberado para interceptar ou sequestrar MFA.”
A descoberta ocorre em meio a uma alta nos ataques de phishing com código de dispositivo em 2026, que usam ferramentas desenvolvidas sob medida para operar campanhas em escala.
“Uma vez dentro de uma conta comprometida do Microsoft 365, os atacantes estabelecem persistência ao vincular vários dispositivos sob seu controle ao tenant Entra ID da vítima e então avançam rapidamente para exfiltrar dados sensíveis de plataformas SaaS para extorsão”, acrescentou a empresa.
Em alguns casos, os threat actors foram vistos cadastrando mais de cinco dispositivos em uma única conta comprometida, numa tentativa de ampliar a janela para exfiltração.
Mais de 3.900 servidores de ameaça mapeados
Uma nova análise da Hunt.io identificou mais de 3.900 servidores de atividades maliciosas em 302 provedores de infraestrutura da Europa Oriental nos últimos três meses.
“Keitaro lidera a habilitação de atividades de ameaça na Europa Oriental, com 1.277 IPs únicos associados a essas operações, seguido por Tactical RMM (232) e Acunetix (173)”, disse a empresa de inteligência de ameaças.
“A infraestrutura do APT Cloud Atlas foi observada em múltiplos provedores da Europa Oriental, confirmando a dependência contínua do grupo em hospedagem na região.”
A Proton66 OOO foi associada à exploração ativa da
CVE-2026-35273
, um zero-day crítico no Oracle PeopleSoft atribuído ao grupo ShinyHunters, com infraestrutura de apoio à atividade maliciosa diretamente rastreável a esse provedor russo.
Uma infecção, duas fontes de receita
Uma campanha motivada financeiramente foi observada distribuindo o Vidar stealer e o minerador de criptomoedas XMRig para vítimas domésticas e pequenas e médias empresas em todo o mundo.
A campanha foi detectada em abril de 2026.
“Os atacantes atraem as vítimas por meio de malvertising para páginas de download que imitam versões crackeadas de softwares protegidos por direitos autorais”, disse a Unit 42, da Palo Alto Networks.
“Ao ser executado, o loader solta e executa tanto o Vidar stealer quanto o XMRig.
O Vidar stealer mira informações como credenciais de navegador, cookies e carteiras de criptomoedas.
O XMRig minera a criptomoeda Monero.”
Os binários do loader usam o framework Factory-v3, que se refere a um construtor de malware-as-a-service, ou MaaS, usado por diferentes famílias de malware stealer.
“A tag X3D MINER aparece nas notificações do operador no Telegram enviadas para cada nova infecção”, acrescentou a Unit 42.
O operador por trás da campanha usa um esquema de monetização dupla.
Criminosos vendem credenciais e cookies de sessão roubados pelo Vidar stealer em mercados criminosos, enquanto o XMRig gera renda passiva com os ciclos de CPU sequestrados das vítimas.
A lição não é “não confie em nada”.
É parar de conceder confiança em massa.
Verifique o repositório, o instalador, a conta e o serviço exposto.
Pequenos atalhos continuam se transformando em caminhos completos de ataque.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Guardsi: qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...