9 notícia(s) relacionada(s).
Reunimos nesta página as publicações do Hack Alerta relacionadas a iocs.
Pesquisa técnica revela campanha com o loader RenEngine que distribui Lumma e ACR Stealer via jogos e repacks piratas. O mecanismo usa HijackLoader para injetar payloads em memória; Brasil está entre os países com maior incidência. Recomendações incluem evitar software pirata, reforçar controles de execução e usar detecção comportamental.
Darktrace observou uma campanha que usou código gerado por LLMs para explorar React2Shell em um honeypot Docker, implantando XMRig em ~91 hosts e gerando 0.015 XMR. O caso evidencia o risco de 'vibecoding' — LLMs produzindo ferramentas de ataque — e a necessidade de detecção comportamental em ambientes containerizados.
SlowMist e Koi Security identificaram centenas de skills maliciosas no marketplace ClawHub do OpenClaw. Atacantes esconderam comandos Base64 em SKILL.md que acionavam curl|bash para baixar stealers (ex.: Atomic macOS Stealer), exfiltrando Keychain e pastas do usuário. Pesquisas listam domínios, IPs e hashes como IOCs.
Campanha explorou CVE‑2025‑64328 no Endpoint Manager do FreePBX para implantar o webshell EncystPHP; ataque, atribuído ao INJ3CTOR3 desde dez/2025, inclui criação de conta "newfpbx", múltiplos droppers e IoCs publicados para investigação.
Pesquisadores identificaram campanhas que hospedam kits de phishing em infraestruturas legítimas (Azure Blob, Firebase, CloudFront, Google Sites). Famílias como Tycoon, Sneaky2FA e EvilProxy servem páginas falsas, tornando verificações de reputação ineficazes e exigindo detecção baseada em comportamento.
Campanha de spear‑phishing explora notícias da prisão de Nicolás Maduro para entregar um backdoor via DLL hijacking. O pacote ZIP contém um EXE legítimo KuGou que carrega uma kugou.dll maliciosa; persistência e C2 em 172.81.60[.]97:443 foram observados. IoCs e recomendações para SOCs foram divulgados.
Pesquisadores divulgaram o "Luca Stealer", um infostealer escrito em Rust com binários para Linux e Windows. O código público e artefatos de compilação permitem extração de indicadores (hash e strings), mas vetor de distribuição, alcance e vítimas permanecem desconhecidos.
Pesquisadores da Zscaler ThreatLabz identificaram um aplicativo na Google Play ("Document Reader – File Manager", por ISTOQMAH) com mais de 50 mil downloads que atua como dropper do trojan bancário Anatsa. O malware solicita permissões de acessibilidade e privilégios para sobrepor telas de aplicativos bancários e capturar credenciais; ThreatLabz publicou IOCs e hashes para detecção.
Operation WrtHug comprometeu aproximadamente 50.000 endereços IP por meio de falhas em firmwares ASUS WRT, usando certificados TLS anômalos e backdoors SSH; modelos RT-AC1200HP, GT-AC5300 e DSL-AC68U estão entre os mais afetados. ASUS recomenda atualização de firmware e desativação do AiCloud.