O malware conhecido como Latrodectus tornou-se o mais recente a adotar a amplamente utilizada técnica de engenharia social denominada ClickFix como vetor de distribuição.
"A técnica ClickFix é particularmente arriscada porque permite que o malware seja executado na memória em vez de ser escrito no disco," disse Expel em um relatório compartilhado com a imprensa.
Isso remove muitas oportunidades para os navegadores ou ferramentas de segurança detectarem ou bloquearem o malware. Latrodectus, que se acredita ser o sucessor de IcedID, é o nome dado a um malware que atua como um downloader para outros payloads, como ransomware.
Foi documentado pela primeira vez por Proofpoint e Team Cymru em abril de 2024.
Por coincidência, o malware é um dos muitos softwares maliciosos a sofrer um contratempo operacional como parte da Operação Endgame, que derrubou 300 servidores mundialmente e neutralizou 650 domínios relacionados a Bumblebee, Latrodectus, QakBot, HijackLoader, DanaBot, TrickBot e WARMCOOKIE entre 19 e 22 de maio de 2025.
No conjunto mais recente de ataques de Latrodectus observados pela Expel em maio de 2025, usuários desavisados são enganados a copiar e executar um comando PowerShell de um site infectado, uma tática que se tornou um método prevalente para distribuir uma ampla gama de malwares.
"Quando executados por um usuário, esses comandos tentarão instalar um arquivo localizado na URL remota usando MSIExec, e então executá-lo na memória," disse Expel.
Isso impede que o atacante tenha que escrever o arquivo no computador e corra o risco de ser detectado pelo navegador ou por um antivírus que possa detectá-lo no disco. O instalador MSI contém um aplicativo legítimo da NVIDIA, que é usado para sideload de uma DLL maliciosa, que depois usa curl para baixar o payload principal.
Para mitigar ataques desse tipo, é aconselhável desabilitar o programa Executar do Windows usando Objetos de Política de Grupo (GPOs) ou desativar a tecla de atalho "Windows + R" por meio de uma alteração no Registro do Windows.
Do ClickFix ao TikTok A divulgação vem enquanto a Trend Micro revelou detalhes de uma nova campanha de engenharia social que, em vez de confiar em páginas falsas de CAPTCHA, emprega vídeos do TikTok provavelmente gerados por ferramentas de inteligência artificial (AI) para entregar os malwares de roubo de informações Vidar e StealC, instruindo usuários a executar comandos maliciosos em seus sistemas para ativar o Windows, Microsoft Office, CapCut e Spotify.
Estes vídeos foram postados de várias contas no TikTok como @gitallowed, @zane.houghton, @allaivo2, @sysglow.wow, @alexfixpc e @digitaldreams771.
Essas contas não estão mais ativas.
Um dos vídeos, que alega fornecer instruções sobre como "melhorar sua experiência no Spotify instantaneamente", acumulou quase 500.000 visualizações, com mais de 20.000 curtidas e mais de 100 comentários.
A campanha marca uma nova escalada do ClickFix em que usuários em busca de maneiras de ativar aplicativos piratas são guiados verbal e visualmente a abrir o diálogo Executar do Windows pressionando a tecla de atalho "Windows + R", lançar o PowerShell e executar o comando destacado no vídeo, comprometendo seus próprios sistemas.
"Os atores de ameaças agora estão usando vídeos do TikTok que são potencialmente gerados usando ferramentas alimentadas por AI para engenhar socialmente os usuários a executarem comandos do PowerShell sob o pretexto de orientá-los a ativar softwares legítimos ou desbloquear recursos premium," disse o pesquisador de segurança Junestherry Dela Cruz.
Esta campanha destaca como os atacantes estão prontos para armar qualquer plataforma de mídia social atualmente popular para distribuir malware.
Apps Falsos do Ledger Usados para Roubar Frases-semente de Usuários Mac As descobertas seguem também a descoberta de quatro diferentes campanhas de malware que aproveitam uma versão clonada do aplicativo Ledger Live para roubar dados sensíveis, incluindo frases-semente, com o objetivo de esvaziar as carteiras de criptomoedas das vítimas.
A atividade tem sido contínua desde agosto de 2024.
Os ataques fazem uso de arquivos DMG maliciosos que, quando lançados, inicia um AppleScript para exfiltrar senhas e dados do Apple Notes e, em seguida, baixar uma versão trojanizada do Ledger Live.
Uma vez que o aplicativo é aberto, ele adverte os usuários de um suposto problema de conta e que requer sua frase-semente para recuperação.
A frase-semente inserida é enviada para um servidor controlado pelo atacante.
Moonlock Lab, que lançou luz sobre a campanha, disse que os aplicativos falsos fazem uso de malware macOS stealer como Atomic macOS Stealer (AMOS) e Odyssey, este último que introduziu o esquema de phishing inovador em março de 2025.
Vale ressaltar que a atividade se sobrepõe com uma campanha de macOS infostealer que visa usuários do Ledger Live através de binários embalados com PyInstaller, como revelado pela Jamf neste mês.
"Em fóruns da dark web, o burburinho em torno de esquemas anti-Ledger está crescendo. A próxima onda já está tomando forma," observou a divisão de cibersegurança da MacPaw.
Os hackers continuarão a explorar a confiança que os proprietários de cripto depositam no Ledger Live.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...