As principais ameaças cibernéticas registradas nos últimos dias mostram atacantes investindo em técnicas de ocultação, exploração de vulnerabilidades zero-day e cooperação entre grupos criminosos.
Ameaça da semana
Curly COMrades explora o Hyper-V para esconder malware em máquinas virtuais Linux. O grupo, ligado a interesses geopolíticos russos, foi flagrado em julho de 2025 ativando o Hyper-V via DISM em computadores Windows comprometidos, sem habilitar o console gráfico. Em seguida, baixou um arquivo RAR disfarçado de vídeo MP4 contendo dois discos VHDX e um arquivo VMCX, correspondentes a uma VM Alpine Linux pré-configurada. A importação ocorreu com os cmdlets Import-VM e Start-VM, renomeando a instância para “WSL” para despistar análises. A VM usa o adaptador Default Switch para que todo o tráfego malicioso pareça sair do endereço IP legítimo da máquina host. Os malwares CurlyShell e CurlyCat foram distribuídos nessa campanha. Segundo a Bitdefender, a técnica evidencia o esforço de grupos em contornar soluções EDR/XDR por meio de isolamento em máquinas virtuais.
Principais notícias
“Whisper Leak” revela tópicos de chat de IA mesmo em tráfego criptografado. A Microsoft detalhou um ataque de canal lateral que permite a observadores passivos de rede inferir assuntos discutidos com modelos de linguagem remotos. Em testes de prova de conceito, a tática alcançou mais de 98 % de precisão contra modelos da Alibaba, DeepSeek, Mistral, Microsoft, OpenAI e xAI. OpenAI, Mistral, Microsoft e xAI já aplicaram atenuações.
Zero-day em smartphones Samsung levou ao spyware LANDFALL. A falha CVE-2025-21042, corrigida em abril de 2025, foi explorada para instalar o spyware em ataques direcionados no Iraque, Irã, Turquia e Marrocos. O LANDFALL coleta áudio, localização, fotos, contatos, SMS, arquivos e registros de chamadas, focando nos modelos Galaxy S22, S23, S24, Z Fold 4 e Z Flip 4.
Pacotes NuGet maliciosos escondem “bombas lógicas”. Nove bibliotecas publicadas entre 2023 e 2024 executam cargas nocivas em datas futuras: agosto de 2027 e novembro de 2028. Um dos pacotes, Sharp7Extend, inicia a ação imediatamente após a instalação e desativa-se em 6 de junho de 2028.
Vulnerabilidades corrigidas no Microsoft Teams permitiam falsificação de identidade. Quatro falhas agora sanadas possibilitavam alterar mensagens sem exibir o rótulo “Editado”, modificar notificações e trocar nomes de exibição em chats e ligações, facilitando golpes de engenharia social, segundo a Check Point.
Aliança criminosa reúne Scattered Spider, LAPSUS$ e ShinyHunters. Sob a sigla SLH, o grupo já operou 16 canais no Telegram desde 8 de agosto de 2025, oferecendo extorsão como serviço e testando o ransomware “Sh1nySp1d3r”. A fusão combina táticas e reputação dos três coletivos.
CVE em destaque
Entre as falhas mais críticas monitoradas nesta semana estão: CVE-2025-20354, CVE-2025-20358 (Cisco Unified CCX), CVE-2025-20343 (Cisco ISE), CVE-2025-62626 (AMD), CVE-2025-48593 e CVE-2025-48581 (Android), CVE-2025-64458 e CVE-2025-64459 (Django), além de vulnerabilidades em RunC, Keras AI, NVIDIA App para Windows, QNAP QTS, django-allauth e outras listadas por pesquisadores.
Pelo mundo
RDP sem MFA facilita ransomware Cephalus. Desde junho de 2025, operadores do novo ransomware Go-based invadem contas RDP, desativam o Windows Defender, apagam backups VSS e interrompem serviços Veeam e MSSQL antes de criptografar dados.
WhatsApp testa modo de proteção reforçada. Usuários com maior risco poderão bloquear mídia de remetentes desconhecidos, restringir chamadas, silenciar desconhecidos, exigir verificação em duas etapas e limitar convites para grupos a contatos familiares, recurso semelhante ao Lockdown Mode da Apple.
Hosting alemão Aurologic vinculado a infraestruturas sancionadas. A Recorded Future aponta a empresa, fundada em outubro de 2023, como ponto de trânsito para redes como Doppelgänger, Aeza Group, Metaspinner e outras envolvidas em malware como AsyncRAT e Cobalt Strike.
Austrália sanciona operadores norte-coreanos. Park Jin Hyok, Kimsuky, Lazarus Group, Andariel e Chosun Expo receberam bloqueio financeiro e proibição de viagem por financiar programas de armas de destruição em massa.
Reino Unido combate spoofing telefônico internacional. Operadoras britânicas marcarão chamadas de origem estrangeira e adotarão rastreamento avançado para dificultar golpes que usam números nacionais falsificados.
Imagem: Internet
Falha no Advanced Installer abre brecha em cadeias de suprimento. Versão 22.7 permite que invasores alterem mecanismos de atualização de aplicativos quando os pacotes não são assinados digitalmente, prática comum, alertou a Cyderes.
Microsoft Authenticator terá detecção de jailbreak/root em 2026. Dispositivos comprometidos perderão acesso a credenciais do Entra a partir de fevereiro de 2026.
Explorações em SimpleHelp RMM distribuem ransomwares Medusa e DragonForce. Três CVEs de 2024 são usados para assumir servidores RMM e lançar ataques em cadeia contra clientes, segundo a Zensec.
Cambodja detém 650 suspeitos em dois complexos de golpes online. Operações em 4 de novembro de 2025 em Bavet desmantelaram esquemas de falsos investimentos, romances, deepfakes e falsas plataformas bancárias.
Co-fundador da Samourai Wallet condenado a cinco anos. Keonne Rodriguez admitiu lavagem de mais de US$ 237 milhões em criptoativos. O CTO William Lonergan Hill aguarda sentença.
Russo assume culpa por vender acessos ao Yanluowang. Aleksei Olegovich Volkov, preso em janeiro de 2024 em Roma e extraditado para os EUA, admitiu ataques a sete empresas americanas entre julho de 2021 e novembro de 2022.
Bots maliciosos fingem ser agentes de IA legítimos. A Radware observou criminosos falsificando user-agents de ChatGPT e outros modelos para burlar filtros e realizar fraudes financeiras.
Instaladores falsos de ferramentas de produtividade distribuem TamperedChef/BaoLoader. A campanha, possivelmente criada com apoio de IA, instala backdoor com capacidade de extrair segredos DPAPI, executar comandos e exfiltrar dados, informou a CyberProof.
Os incidentes da semana reforçam a necessidade de correções rápidas, autenticação multifator e monitoramento proativo contra técnicas de evasão avançada.
Com informações de The Hacker News
