19 notícia(s) relacionada(s).
Reunimos nesta página as publicações do Hack Alerta relacionadas a ioc.
Campanha de phishing direciona fornecedores do setor de casamentos com convites falsos do Microsoft Teams que levam a download de stealers. E-mails usam domínio legítimo comprometido e a página maliciosa hospeda executáveis que exfiltram cookies e credenciais — bloquear IOCs e reforçar controles M365.
Pesquisadores identificaram que o cluster ShadowSyndicate passou a usar um método de "server transition" para rotacionar chaves SSH entre servidores, dificultando rastreamento. Três fingerprints principais e pelo menos 20 servidores C2 foram correlacionados a frameworks e grupos de ransomware conhecidos.
Uma atualização maliciosa distribuída por um servidor regional do antivírus eScan (MicroWorld) entregou um Reload.exe que bloqueou atualizações via HOSTS, instalou persistência e baixou payloads adicionais; a fornecedora isolou a infra e disponibilizou ferramenta de remoção.
Pesquisadores obtiveram amostras e materiais do painel de afiliados do que está sendo chamado LockBit 5.0. A versão inclui variantes para Windows, Linux e ESXi, e o vazamento revela fluxo operacional do grupo, oferecendo IOCs úteis às defesas, embora não haja indicação pública de exploração em larga escala.
Relatório descreve retorno do Gootloader com arquivos ZIP malformados, JScript de persistência e técnicas de 'hashbusting' que tornam a detecção por assinaturas difícil. O malware atua como initial access broker, abrindo caminho para campanhas de ransomware.
BleepingComputer relata que o novo strain PDFSider foi usado para entregar cargas maliciosas em sistemas Windows de uma empresa Fortune 100 do setor financeiro. O material público é limitado; amostras e IOCs ainda não foram divulgados.
Pesquisadores da Zscaler identificaram uma campanha do grupo APT SideWinder que usa e‑mails sobre impostos e um site falso da receita indiana para entregar um backdoor em Windows. O kit inclui DLL side‑loading, checagens de timezone para a região do Sul da Ásia e artefatos de persistência.
A WatchGuard confirmou exploração ativa do zero‑day CVE‑2025‑14733 em appliances Firebox — uma falha crítica no processo iked que permite execução remota sem autenticação. Foram divulgadas correções (Fireware 2025.1.4, 12.11.6, 12.5.15), IoCs e a recomendação de rotacionar segredos caso haja evidência de comprometimento.
A operação ForumTroll retomou ataques direcionados a cientistas políticos com e‑mails que simulam relatórios de plágio; o ZIP entregue contém um atalho .lnk que dispara um PowerShell para baixar um loader OLLVM e implantar o framework Tuoni. Persistência é estabelecida via COM Hijacking; IOCs incluem domínios em fastly.net e e-library[.]wiki.
Pesquisadores mapearam novos clusters de infraestrutura ligados ao APT‑C‑35 (DoNot) usando padrões de resposta Apache e correlação por ASN. Foram encontrados ~73 resultados equivalentes a 36 IPs únicos; o relatório fornece assinaturas práticas para hunting, mas não lista vítimas confirmadas.