Analistas da Swiss Post Cybersecurity documentaram uma campanha que usa PNGs "polyglot" hospedados em infraestrutura legítima (ex.: archive.org) para entregar o infostealer PURELOGS. O vetor começa com phishing e um JScript dropper que baixa uma imagem contendo um payload Base64 inserido após o IEND do PNG entre marcadores "BaseStart-" e "-BaseEnd". O código é decodificado e carregado diretamente em memória via .NET Reflection e executado por Pow
21/01/2026 10:01
Riscos e Ameaças
#fileless
Operação da gangue Black Cat usou sites falsos de Notepad++ e técnicas de SEO para distribuir instaladores maliciosos. Pesquisadores reportam cerca de 277.800 servidores comprometidos em dezembro de 2025; o malware carrega uma DLL que descriptografa e executa um PE em memória e conecta‑se a sbido.com:2869 para exfiltrar dados.
07/01/2026 08:02
Cyber ataques
#fileless
Pesquisadores da Cyble detalharam uma campanha que utiliza um loader commodity para distribuir RATs e info‑stealers contra manufatura e órgãos governamentais em Itália, Finlândia e Arábia Saudita. A cadeia de quatro estágios inclui phishing, esteganografia em PNGs, execução reflectiva em memória e uma biblioteca trojanizada que facilita injeção de processo e entrega do PureLog Stealer.
06/01/2026 08:01
Riscos e Ameaças
#fileless
Operação do grupo BlindEagle mirou uma agência do Ministério de Comércio da Colômbia, usando conta interna comprometida e anexo SVG para entregar payloads fileless que culminaram na injeção do DCRAT em MSBuild.exe.
17/12/2025 05:02
Cyber ataques
#fileless
Campanha de vishing identificada usa chamadas forjadas no Microsoft Teams e o utilitário QuickAssist para conseguir acesso remoto e instalar um .NET malware que executa payloads em memória. O fluxo envolve domínios maliciosos e cifragem AES-CBC; detecção e bloqueio de domínios e restrição de suporte remoto são recomendados.
09/12/2025 12:02
Cyber ataques
#fileless
Pesquisadores da Blackfog identificaram a plataforma Matrix Push C2, que usa notificações nativas do navegador — sem arquivos — para distribuir links de phishing e alertas falsos em múltiplos sistemas operacionais. O relatório destaca o caráter fileless e o uso de push/notifications, mas não divulga vítimas nem IoCs.
22/11/2025 05:03
Riscos e Ameaças
#fileless
Matrix Push C2 usa web push notifications como canal de C2 e phishing em um vetor fileless; painel inclui templates de marcas e métricas de entregabilidade; testes com três clientes mostraram 100% de entrega.
21/11/2025 16:02
Riscos e Ameaças
#fileless
Campanha recente usa anexos .vbs em falsos avisos de pagamento para instalar Backdoor.XWorm. O fluxo envolve um .vbs de 429 linhas que grava IrisBud.bat e aoc.bat, usa PowerShell para descriptografar payloads (AES) e carrega executáveis em memória; mutex 5wyy00gGpG6LF3m6 confirma a família XWorm.
15/11/2025 08:02
Cyber ataques
#fileless
A campanha ClickFix induz vítimas a colar comandos no terminal, resultando em execução fileless e instalação de infostealers: ACR no Windows e Odyssey no macOS. Pesquisadores da Intel471 identificaram a técnica, que usa páginas legítimas hospedadas em serviços como Google Colab e Drive para driblar bloqueios.
14/11/2025 06:02
Riscos e Ameaças
#fileless
A campanha ClickFix induz vítimas a colar comandos em terminais, distribuindo infostealers distintos por plataforma: ACR em Windows e Odyssey em macOS. A técnica, identificada pela Intel471, usa páginas hospedadas em serviços de cloud para evitar bloqueio e executa payloads em memória, dificultando detecção tradicional.
14/11/2025 05:02
Riscos e Ameaças
#fileless
