24 notícia(s) relacionada(s).
Reunimos nesta página as publicações do Hack Alerta relacionadas a ioc.
Investigação da IBM X-Force revela que os grupos de ransomware Interlock e Rhysida compartilham a backdoor Supper e código de malware similar, sugerindo origem comum ou transferência de código entre atores.
Uma página de instalação PHP desconfigurada expôs a infraestrutura interna de uma plataforma de distribuição de malware ativa, permitindo que um pesquisador de segurança ganhasse acesso administrativo não intencional ao painel de controle do ator de ameaça.
Campanha sofisticada usa downloads falsos de utilitários para instalar ScreenConnect e minerar criptomoedas, explorando DLL sideloading e chatbots de IA para entrega de malware.
Grupo Ransomware The Gentlemen utiliza exploits da Fortinet, IA e framework C2 personalizado em operações, visando redes governamentais e corporativas com técnicas avançadas de exfiltração.
Hackers exploram a ferramenta legítima MSHTA do Windows para entregar malwares LummaStealer e Amatera. A Bitdefender detalha campanhas de engenharia social e fornece indicadores de comprometimento para detecção.
Campanha de phishing direciona fornecedores do setor de casamentos com convites falsos do Microsoft Teams que levam a download de stealers. E-mails usam domínio legítimo comprometido e a página maliciosa hospeda executáveis que exfiltram cookies e credenciais — bloquear IOCs e reforçar controles M365.
Pesquisadores identificaram que o cluster ShadowSyndicate passou a usar um método de "server transition" para rotacionar chaves SSH entre servidores, dificultando rastreamento. Três fingerprints principais e pelo menos 20 servidores C2 foram correlacionados a frameworks e grupos de ransomware conhecidos.
Uma atualização maliciosa distribuída por um servidor regional do antivírus eScan (MicroWorld) entregou um Reload.exe que bloqueou atualizações via HOSTS, instalou persistência e baixou payloads adicionais; a fornecedora isolou a infra e disponibilizou ferramenta de remoção.
Pesquisadores obtiveram amostras e materiais do painel de afiliados do que está sendo chamado LockBit 5.0. A versão inclui variantes para Windows, Linux e ESXi, e o vazamento revela fluxo operacional do grupo, oferecendo IOCs úteis às defesas, embora não haja indicação pública de exploração em larga escala.
Relatório descreve retorno do Gootloader com arquivos ZIP malformados, JScript de persistência e técnicas de 'hashbusting' que tornam a detecção por assinaturas difícil. O malware atua como initial access broker, abrindo caminho para campanhas de ransomware.