Um novo projeto-lei recentemente aprovado em Portugal proíbe a criação de contas nas redes sociais sem autorização parental por jovens com menos de 16 anos, e por jovens com menos de 13 anos mesmo com autorização parental. Como um dos primeiros países europeus a introduzir uma restrição deste tipo, Portugal pode tornar-se um caso de estudo para os reguladores observarem a eficácia da legislação e se produz os resultados desejados. Será 2026 o ano em que o mundo vai repensar a identidade online?

A ESET, maior empresa europeia de cibersegurança, considera que, embora as novas regras de idade em Portugal tenham origem nas preocupações com os riscos bem documentados que as crianças enfrentam nas redes sociais, a necessidade de mudar a experiência nestas plataformas provavelmente não é atendida da melhor forma com a sua proibição total.

Isto porque as questões subjacentes permanecem: quando alguém completa 16 anos, de repente torna-se aceitável sujeitá-lo às questões das quais foi protegido? Certamente todas as pessoas devem ser protegidas contra conteúdos prejudiciais, abusos e outras experiências negativas. A história também sugere que proibir algo causa uma maior procura. Neste caso, a questão dos perigos online pode ser exacerbada à medida que os jovens em Portugal procuram alternativas.

Preocupações sobre privacidade
Entretanto, a legislação de verificação de idade noutros países também está a tentar limitar o acesso a conteúdo adulto, trazendo inúmeras tecnologias de verificação de idade em websites que precisam de restringir o seu conteúdo. Algumas tecnologias oferecem determinação de idade em tempo real com base em características faciais, enquanto outras dependem de métodos como identificação emitida pelo governo ou documentos financeiros. Todas estas abordagens podem criar preocupações adicionais de privacidade, especialmente em relação à recolha e armazenamento de dados.

Tendo em conta a proliferação de emails de phishing, burlas românticas, fraudes financeiras e todas as outras formas através das quais os cibercriminoso tentam enganar as suas vítimas, será que a forma como os serviços e apps da Internet funcionam hoje ainda é adequada para o seu propósito?

Imagine se lhe dissessem há 30 anos que, um dia, um pequeno dispositivo no seu bolso permitiria ligar-se a praticamente qualquer pessoa em qualquer lugar, interagir, fazer compras, fazer reservas e ver qualquer conteúdo televisivo, mas que, ao mesmo tempo, também existiria a possibilidade de ser intimidado por outros utilizadores, que podiam ser tão abusivos quanto quisessem, sem prestar contas a ninguém, e até mesmo permanecer anónimos ao fazer isso. Pensando desta forma, talvez tivesse considerado que esse dispositivo (o smartphone que hoje todos temos no bolso) era uma má ideia.

A não ser que uma app ou serviço seja operado por uma empresa regulamentada que exija verificação de identidade, as pessoas são livres para criar contas usando qualquer identidade que desejarem. Esta opção de anonimato tem sido um conceito central de liberdade na Internet. A barreira para a identificação positiva ao criar uma conta é que os serviços poderiam acabar por ter menos utilizadores, o que introduziria atrito na criação de contas, algo que as empresas que dependem do número de utilizadores para lucrar com anúncios e conteúdo patrocinado querem evitar. Isto leva a uma questão mais ampla: estará na altura de aceitar que a Internet precisa de ter utilizadores verificados e autenticados?

Verificação e proteção de identidade
Não faz sentido para todos os serviços exigir a verificação de identidade dos utilizadores. No entanto, se fosse possível desativar conteúdos, publicações e tentativas de comunicação de utilizadores não verificados, a experiência online poderia melhorar significativamente. Alargar este conceito para que utilizadores com menos de 16 anos só pudessem interagir com conteúdos de utilizadores verificados não resolvia completamente os problemas atuais, mas talvez correspondesse à regra 80/20 e eliminasse 80% deles.

Os benefícios não se limitam às redes sociais. Atualmente, a maioria das caixas de entrada de email tem a opção de separar emails gerais daqueles que requerem ação. A introdução de um terceiro filtro para remetentes não verificados também ajudaria a eliminar possíveis ataques de phishing e ciberataques direcionados. Continuava a existir o risco de os cibercriminosos roubarem contas verificadas, pelo que isto não é uma solução milagrosa. No entanto, adicionaria outra camada de proteção.

A verificação de identidade não elimina a opção de proteger a identidade. Por exemplo, uma plataforma de encontros pode verificar a identidade de todos os utilizadores, mas ainda assim permitir que assumam qualquer identidade de perfil que escolherem. A proteção vem do facto de saber que todos os membros da plataforma foram verificados como pessoas reais e que a sua identidade é conhecida pela plataforma. Qualquer abuso ou fraude é então atribuível ao indivíduo, permitindo que as autoridades competentes tomem medidas.

Mudar para uma Internet que distingue entre indivíduos verificados e não verificados seria uma grande redefinição do status quo. Seguir-se-iam alegações sobre limitações à liberdade de expressão, enquanto as empresas que dependem do número de utilizadores para demonstrar crescimento poderiam até precisar de redefinir os seus objetivos. No entanto, o conceito de identidades verificadas não silencia a expressão nem restringe a liberdade. O que faz é dar às pessoas a opção de filtrar o ruído e os abusos provenientes de indivíduos não verificados.

Uma coisa é certa: os métodos atuais de limitar o conteúdo por idade não estão a resolver a questão do conteúdo indesejado, abusivo ou ilegal. E quando se trata de proibir os jovens de usar as redes sociais, as medidas provavelmente levarão alguns deles à clandestinidade ou a contornar as restrições, o que poderá ser ainda mais perigoso e aumentar o risco, em vez de o reduzir. Assim, para a ESET, a solução passa por criar uma Internet mais segura para todo os utilizadores, não apenas os mais novos.

​Imagem de alta resolução: https://fotos.aempress.com/WhiteHat/ESET/Identity-Verification

A maior empresa europeia de cibersegurança divulgou o seu mais recente Threat Report, que resume as tendências do panorama de ameaças observadas na telemetria da ESET e da perspetiva dos seus especialistas em deteção e pesquisa de ameaças, de junho a novembro de 2025.

O malware alimentado por IA passou da teoria à realidade no segundo semestre de 2025, quando a ESET descobriu o PromptLock – o primeiro ransomware conhecido alimentado por IA, capaz de gerar scripts maliciosos em tempo real.
Embora a IA ainda seja usada principalmente para criar conteúdos convincentes de phishing e golpes, o PromptLock – e as poucas outras ameaças alimentadas por IA identificadas até hoje – sinalizam uma nova era de ameaças.

«Os burlões por trás dos esquemas de investimento Nomani também aperfeiçoaram as suas técnicas – observámos deepfakes de maior qualidade, sinais de sites de phishing gerados por IA e campanhas publicitárias cada vez mais curtas para evitar a deteção», afirma Jiří Kropáč, diretor do ESET Threat Prevention Labs. Na telemetria da ESET, as deteções de esquemas Nomani cresceram 62% em relação ao ano anterior, com a tendência a diminuir ligeiramente no segundo semestre de 2025. Os esquemas fraudulentos da Nomani têm-se expandido recentemente da Meta para outras plataformas, incluindo o YouTube.

No cenário do ransomware, o número de vítimas ultrapassou os totais de 2024 bem antes do final do ano, com as projeções da ESET Research apontando para um aumento de 40% em relação ao ano anterior. Akira e Qilin agora dominam o mercado de ransomware como serviço, enquanto o recém-chegado Warlock, de baixo perfil, introduziu técnicas inovadoras de evasão.

Os EDR killers continuaram a proliferar, destacando que as ferramentas de deteção e resposta de endpoints continuam a ser um obstáculo significativo para os operadores de ransomware. Na plataforma móvel, as ameaças NFC continuaram a crescer em escala e sofisticação, com um aumento de 87% na telemetria da ESET e várias atualizações e campanhas notáveis observadas no segundo semestre de 2025.

O NGate – pioneiro entre as ameaças NFC, descoberto pela primeira vez pela ESET – recebeu uma atualização na forma de roubo de contactos, provavelmente preparando o terreno para ataques futuros. O RatOn, um malware totalmente novo no cenário de fraudes NFC, trouxe uma rara fusão de recursos de trojan de acesso remoto (RAT) e ataques de retransmissão NFC, mostrando a determinação dos cibercriminosos em buscar novas formas de ataque. O RatOn foi distribuído por meio de páginas falsas do Google Play e anúncios que imitavam uma versão adulta do TikTok e um serviço de identificação bancária digital. O PhantomCard – um novo malware baseado no NGate adaptado ao mercado brasileiro – foi visto em várias campanhas no Brasil no segundo semestre de 2025.

Além disso, após a sua interrupção global em maio, o infostealer Lumma Stealer conseguiu ressurgir brevemente – duas vezes –, mas os seus dias de glória provavelmente chegaram ao fim. As deteções caíram 86% no segundo semestre de 2025 em comparação com o primeiro semestre do ano, e um vetor de distribuição significativo do Lumma Stealer – o trojan HTML/FakeCaptcha, usado em ataques ClickFix – quase desapareceu da telemetria da ESET.

Entretanto, o CloudEyE, também conhecido como GuLoader, ganhou destaque, disparando quase trinta vezes, de acordo com a telemetria da ESET. Distribuído através de campanhas de e-mail maliciosas, este downloader e encriptador de malware como serviço é usado para implantar outros malwares, incluindo ransomware, bem como gigantescos infostealers, como Rescoms, Formbook e Agent Tesla.

A Polónia foi o país mais afetado por esta ameaça, com 32% das tentativas de ataque do CloudEyE no segundo semestre de 2025 detetadas neste país.

​Para mais informações, consulte o Relatório de Ameaças da ESET do segundo semestre de 2025 em WeLiveSecurity.com.

Os investigadores da ESET identificaram novas atividades do MuddyWater visando principalmente organizações em Israel, com um alvo confirmado no Egito. As vítimas em Israel estavam nos setores de tecnologia, engenharia, produção industrial, governo local e educação. O MuddyWater, também conhecido como Mango Sandstorm ou TA450, é um grupo de ciberespionagem alinhado com o Irão, conhecido por atacar persistentemente setores governamentais e de infraestruturas críticas, muitas vezes utilizando malware personalizado e ferramentas disponíveis publicamente, e tem ligações com o Ministério da Inteligência e Segurança Nacional do Irão.

Nesta campanha, os atacantes utilizaram um conjunto de ferramentas personalizadas, anteriormente não documentadas, com o objetivo de melhorar a evasão da defesa e a persistência. O novo backdoor MuddyViper permite aos atacantes recolher informações do sistema, executar ficheiros e comandos shell, transferir ficheiros e extrair credenciais de login do Windows e dados do navegador. A campanha utiliza outros ladrões de credenciais. Entre essas ferramentas está o Fooder, um carregador personalizado que se disfarça como o clássico jogo Snake.

O acesso inicial é normalmente obtido através de emails de spearphishing, que muitas vezes contêm anexos em PDF com links para instaladores de software de monitorização e gestão remota (RMM) hospedados em plataformas gratuitas de partilha de ficheiros, como OneHub, Egnyte ou Mega. Estes links levam ao download de ferramentas como Atera, Level, PDQ e SimpleHelp. Entre as ferramentas utilizadas pelos operadores do MuddyWater está também o backdoor VAX One, cujo nome deriva do software legítimo que imita: Veeam, AnyDesk, Xerox e o serviço de atualização OneDrive.

A dependência contínua do grupo em relação a este manual familiar torna a sua atividade relativamente fácil de detetar e bloquear. No entanto, neste caso, o grupo também utilizou técnicas mais avançadas para implantar o MuddyViper usando o Fooder, que carrega reflexivamente o MuddyViper na memória e executa-o. Várias versões do Fooder disfarçam-se como o clássico jogo Snake, daí a designação MuddyViper. Outra característica notável do Fooder é o uso frequente de uma função de atraso personalizada que implementa a lógica central do jogo Snake, combinada com chamadas de API ‘Sleep’. Estes recursos têm como objetivo atrasar a execução, na tentativa de ocultar o comportamento malicioso dos sistemas de análise automatizados.

Para além disso, os desenvolvedores do MuddyWater adotaram o CNG, a API criptográfica de última geração do Windows, que é exclusiva para grupos alinhados com o Irão e um tanto atípica no cenário mais amplo de ameaças.
Durante esta campanha, os operadores evitaram deliberadamente sessões interativas com o teclado, uma técnica historicamente ruidosa, frequentemente caracterizada por comandos digitados incorretamente. Assim, embora alguns componentes continuem ruidosos e facilmente detetáveis, como é típico do MuddyWater, no geral esta campanha mostra sinais de evolução técnica – maior precisão, segmentação estratégica e um conjunto de ferramentas mais avançado.

O conjunto de ferramentas pós-comprometimento também inclui vários ladrões de credenciais: CE-Notes, que tem como alvo navegadores baseados em Chromium; LP-Notes, que armazena e verifica credenciais roubadas; e Blub, que rouba dados de login dos navegadores Chrome, Edge, Firefox e Opera.

O MuddyWater foi apresentado ao público pela primeira vez em 2017 pela Unit 42, cuja descrição das atividades do grupo é consistente com o perfil traçado pela ESET – foco em ciberespionagem, uso de documentos maliciosos como anexos concebidos para levar os utilizadores a ativar macros e contornar controlos de segurança, e alvos principalmente em entidades localizadas no Médio Oriente.

Entre as atividades passadas notáveis estão a Operação Quicksand (2020), uma campanha de ciberespionagem que visava entidades governamentais e organizações de telecomunicações israelitas, que exemplifica a evolução do grupo em táticas básicas de phishing para operações mais avançadas e em várias etapas; e uma campanha que visava grupos e organizações políticas na Turquia, demonstrando o foco geopolítico do grupo, a sua capacidade de adaptar táticas de engenharia social aos contextos locais e a sua dependência em malware modular e infraestrutura C&C flexível.

​Imagem de alta resolução: https://fotos.aempress.com/WhiteHat/ESET/MuddyWater

Os investigadores da ESET, a maior empresa europeia de cibersegurança, descobriram que o grupo de ameaças PlushDaemon, alinhado com a China, realiza ataques do tipo ‘man-in-the-middle’ utilizando um implante anteriormente não documentado para dispositivos de rede (por exemplo, um router) que a ESET denominou EdgeStepper. Este implante redireciona todas as consultas DNS para um servidor DNS externo malicioso que responde com o endereço de outro nó que realiza o sequestro de atualizações.

O EdgeStepper redireciona efetivamente o tráfego de atualizações de software para uma infraestrutura controlada pelo invasor com o objetivo de implantar os downloaders LittleDaemon e DaemonicLogistics em máquinas específicas e, por fim, distribuir o implante SlowStepper. O SlowStepper é um kit de ferramentas backdoor com dezenas de componentes usados para ciberespionagem. Estes implantes dão ao PlushDaemon a capacidade de comprometer alvos em qualquer lugar do mundo.

Desde 2019, este grupo alinhado com a China lançou ataques nos Estados Unidos, Nova Zelândia, Camboja, Hong Kong, Taiwan e na própria China continental. Entre as suas vítimas estavam uma universidade em Pequim, uma empresa taiwanesa que fabrica produtos eletrónicos, uma empresa do setor automóvel e uma filial de uma empresa japonesa do setor industrial.

No cenário de ataque descoberto, o PlushDaemon primeiro compromete um dispositivo de rede ao qual o alvo se pode ligar; provavelmente explorando uma vulnerabilidade no software em execução no dispositivo ou através de credenciais administrativas padrão fracas e/ou bem conhecidas, permitindo que os invasores implantem o EdgeStepper (e, possivelmente, outras ferramentas).

“A partir daí, o EdgeStepper começa a redirecionar as consultas DNS para um nó DNS malicioso que verifica se o domínio na mensagem de consulta DNS está relacionado com atualizações de software e, em caso afirmativo, responde com o endereço IP do nó de sequestro. Em alternativa, também observámos que alguns servidores são tanto o nó DNS como o nó de sequestro; nesses casos, o nó DNS responde às consultas DNS com o seu próprio endereço IP”, diz Facundo Muñoz, um dos investigadores da ESET que descobriu e analisou o ataque. “Vários produtos de software chineses populares viram as suas atualizações sequestradas pelo PlushDaemon através do EdgeStepper”, acrescenta.

O PlushDaemon é um grupo cibercriminoso alinhado com a China, ativo desde pelo menos 2018, que se dedica a operações de ciberespionagem contra indivíduos e entidades na Ásia Oriental-Pacífico e nos Estados Unidos. Utiliza um backdoor personalizado que a ESET rastreia como SlowStepper. No passado, a ESET observou o grupo a obter acesso através de vulnerabilidades em servidores web e, em 2023, realizou um ataque a uma cadeia de abastecimento.

Imagem de alta resolução: https://fotos.aempress.com/WhiteHat/ESET/PlushDaemon

A ESET acaba de divulgar o seu mais recente Relatório de Atividades APT, que destaca as atividades de grupos APT selecionados que foram documentadas pelos investigadores da ESET entre abril e setembro de 2025. Durante o período monitorizado, os grupos APT alinhados com a China continuaram a promover os objetivos geopolíticos de Pequim.

A ESET, a maior empresa europeia de cibersegurança, observou um aumento no uso da técnica adversário no meio (adversary-in-the-middle) tanto para acesso inicial quanto para movimento lateral, no que parece ser uma resposta ao interesse estratégico do governo Trump na América Latina e possivelmente influenciado pela contínua disputa de poder entre os EUA e a China.

O grupo FamousSparrow iniciou um ataque à América Latina, visando várias entidades governamentais na região. Em toda a Europa, as entidades governamentais continuaram a ser o foco principal da ciberespionagem por parte de grupos APT alinhados com a Rússia, à medida que intensificavam as suas operações contra a Ucrânia e vários Estados-Membros da União Europeia.

Mesmo alvos não ucranianos de grupos alinhados com a Rússia exibiram ligações estratégicas ou operacionais com a Ucrânia, reforçando a noção de que o país continua a ser central para os esforços de inteligência da Rússia. O RomCom explorou uma vulnerabilidade zero-day no WinRAR para implantar DLLs maliciosas e entregar uma variedade de backdoors, focadas principalmente nos setores financeiro, industrial, de defesa e logístico na UE e no Canadá. Como as explorações zero-day são caras, os grupos Gamaredon e Sandworm usaram a técnica de spearphishing, muito mais barata, como seu principal método de comprometimento.

O Gamaredon continuou a ser o grupo APT mais ativo a visar a Ucrânia, com um aumento notável na intensidade e frequência das suas operações. Da mesma forma, o Sandworm concentrou-se na Ucrânia — embora com a destruição como motivo, em vez da ciberespionagem do Gamaredon — concentrando-se principalmente nos setores governamental, energético, logístico e cerealífero, sendo o objetivo provável o enfraquecimento da economia ucraniana.

O grupo FrostyNeighbor, alinhado com a Bielorrússia, explorou uma vulnerabilidade XSS no Roundcube. Empresas polacas e lituanas foram alvo de emails de spearphishing que se faziam passar por empresas polacas. Os emails continham um uso e uma combinação distintos de marcadores e emojis, uma estrutura que lembra o conteúdo gerado por IA, sugerindo o possível uso de IA na campanha. As cargas entregues incluíam um roubador de credenciais e um roubador de mensagens de email.

“Curiosamente, um agente de ameaças alinhado com a Rússia, InedibleOchotense, conduziu uma campanha de spearphishing fazendo-se passar pela ESET. Esta campanha envolveu emails e mensagens do Signal que entregavam um instalador ESET trojanizado que levava ao download de um produto ESET legítimo junto com o backdoor Kalambur”, diz Jean-Ian Boutin, diretor de pesquisa de ameaças da ESET.

Na Ásia, os grupos APT continuaram a ter como alvo entidades governamentais, bem como os setores de tecnologia, engenharia e manufatura, um padrão consistente com o período anterior. Os agentes de ameaças alinhados com a Coreia do Norte permaneceram altamente ativos em operações direcionadas à Coreia do Sul e ao seu setor de tecnologia, particularmente criptomoedas, que são uma fonte importante de receita para o regime.

“Os grupos alinhados com a China continuam muito ativos, com campanhas que abrangem a Ásia, a Europa, a América Latina e os EUA, como foi recentemente observado pelos investigadores da ESET. Esta abrangência global ilustra que os agentes de ameaça alinhados com a China continuam a ser mobilizados para atender a uma vasta gama de prioridades geopolíticas atuais de Pequim”, acrescenta Boutin.

Entre junho e setembro, a ESET observou também o FamousSparrow a realizar diversas operações na América Latina, principalmente contra entidades governamentais. Estas operações representam a maior parte das atividades que a ESET atribuiu ao grupo durante este período, sugerindo que esta região foi o principal foco operacional do grupo nos últimos meses. Estas atividades podem estar parcialmente ligadas à atual disputa de poder entre os EUA e a China na região, resultante do renovado interesse da administração Trump pela América Latina. No geral, as vítimas observadas na “digressão latino-americana” do FamousSparrow incluem múltiplas entidades governamentais na Argentina, uma entidade governamental no Equador, uma entidade governamental na Guatemala, múltiplas entidades governamentais nas Honduras e uma entidade governamental no Panamá.

Mais informações: https://web-assets.esetstatic.com/wls/en/papers/threat-reports/eset-apt-activity-report-q2-2025-q3-2025.pdf
Imagem de alta resolução: https://fotos.aempress.com/WhiteHat/ESET/APT-Activity-Report-Q2-2025-Q3-2025

Os investigadores da ESET, a maior empresa europeia de cibersegurança, observaram recentemente um novo caso da Operação DreamJob – uma campanha que a ESET acompanha sob a égide do grupo Lazarus, alinhado com a Coreia do Norte –, na qual várias empresas europeias ativas na indústria de defesa foram alvo, algumas das quais fortemente envolvidas no setor de veículos aéreos não tripulados (UAV/drones), sugerindo que a operação pode estar ligada aos esforços atuais da Coreia do Norte para ampliar o seu programa de drones.

Os ataques em ambiente real visaram sucessivamente três empresas ativas no setor de defesa na Europa Central e Sudeste. O acesso inicial foi quase certamente obtido por meio de engenharia social. A principal payload implantada nos alvos foi o ScoringMathTea, um trojan de acesso remoto (RAT) que oferece aos invasores controlo total sobre a máquina comprometida. O objetivo principal suspeito dos invasores era a exfiltração de informações proprietárias e know-how de fabricação.

Na Operação DreamJob, o tema dominante da engenharia social é uma oferta de emprego lucrativa, mas falsa, acompanhada de malware: o alvo geralmente recebe um documento falso com uma descrição do cargo e um leitor de PDF com trojan para abri-lo. A ESET Research atribui essa atividade com alto nível de confiança ao Lazarus, principalmente por causa de suas campanhas relacionadas à Operação DreamJob e porque os setores visados, localizados na Europa, se alinham com os alvos das instâncias anteriores da Operação DreamJob (aeroespacial, defesa, engenharia).

As três organizações visadas fabricam diferentes tipos de equipamento militar (ou peças para o mesmo), muitos dos quais estão atualmente a ser utilizados na Ucrânia, em resultado da assistência militar prestada pelos países europeus. Na altura em que a Operação DreamJob foi observada, soldados norte- coreanos estavam destacados na Rússia, alegadamente para ajudar Moscovo a repelir a ofensiva ucraniana na região de Kursk. É, portanto, possível que a Operação DreamJob estivesse interessada em recolher informações sensíveis sobre alguns sistemas de armas de fabrico ocidental atualmente utilizados na guerra entre a Rússia e a Ucrânia.

De um modo mais geral, estas entidades estão envolvidas na produção de tipos de material que a Coreia do Norte também fabrica internamente e para os quais poderá estar a tentar aperfeiçoar os seus próprios projetos e processos. O interesse no know- how relacionado com os UAV é notável, uma vez que ecoa relatos recentes da comunicação social que indicam que Pyongyang está a investir fortemente nas capacidades de fabrico de drones a nível interno. A Coreia do Norte tem dependido fortemente da engenharia reversa e do roubo de propriedade intelectual para desenvolver as suas capacidades internas em matéria de UAV.

«Acreditamos que é provável que a Operação DreamJob tenha sido – pelo menos parcialmente – destinada a roubar informações proprietárias e know-how de fabricação relacionadas com UAVs. A menção ao drone observada num dos droppers reforça significativamente essa hipótese», afirma o investigador da ESET Peter Kálnai, que descobriu e analisou esses últimos ataques do Lazarus.

“Encontrámos evidências de que uma das entidades visadas está envolvida na produção de pelo menos dois modelos de UAV que são atualmente utilizados na Ucrânia e que a Coreia do Norte pode ter encontrado na linha de frente. Essa entidade também está envolvida na cadeia de abastecimento de drones avançados de rotor único, um tipo de aeronave que Pyongyang está a desenvolver ativamente”, acrescenta Alexis Rapin, analista de ameaças cibernéticas da ESET.

Geralmente, os atacantes Lazarus são altamente ativos e implantam os seus backdoors contra vários alvos. Esse uso frequente expõe essas ferramentas e permite a sua deteção. Como contramedida, as ferramentas do grupo são precedidas na cadeia de execução por uma série de droppers, loaders e downloaders simples. Os atacantes decidiram incorporar as suas rotinas de carregamento maliciosas em projetos de código aberto disponíveis no GitHub.

A payload principal, ScoringMathTea, é um RAT complexo que suporta cerca de 40 comandos. A sua primeira aparição remonta a envios ao VirusTotal provenientes de Portugal e da Alemanha em outubro de 2022, onde o seu dropper se fazia passar por uma oferta de emprego com o tema Airbus. A funcionalidade implementada é a habitual exigida pelo Lazarus: manipulação de ficheiros e processos, troca da configuração, recolha de informações do sistema da vítima, abertura de uma ligação TCP e execução de comandos locais ou novas payloads descarregadas do servidor C&C.

Em relação à telemetria da ESET, o ScoringMathTea foi visto em ataques contra uma empresa de tecnologia indiana em janeiro de 2023, uma empresa de defesa polaca em março de 2023, uma empresa britânica de automação industrial em outubro de 2023 e uma empresa aeroespacial italiana em setembro de 2025. Parece ser uma das payloads úteis emblemáticas das campanhas da Operação DreamJob.

A evolução mais significativa do grupo é a introdução de novas bibliotecas projetadas para proxy DLL e a seleção de novos projetos de código aberto para trojanizar, a fim de melhorar a evasão. «Durante quase três anos, o Lazarus manteve um modus operandi consistente, implementando a sua payload principal preferida, ScoringMathTea, e utilizando métodos semelhantes para trojanizar aplicações de código aberto. Esta estratégia previsível, mas eficaz, proporciona polimorfismo suficiente para evadir a deteção de segurança, mesmo que seja insuficiente para mascarar a identidade do grupo e obscurecer o processo de atribuição», conclui Kálnai.

O grupo Lazarus (também conhecido como HIDDEN COBRA) é um grupo APT ligado à Coreia do Norte que está ativo desde pelo menos 2009. É responsável por incidentes de grande repercussão. A diversidade, o número e a excentricidade na implementação das campanhas do Lazarus definem este grupo, bem como o facto de ele realizar os três pilares das atividades cibercriminosas: ciberespionagem, ciber-sabotagem e busca de ganhos financeiros.

A Operação DreamJob é o nome de código das campanhas Lazarus que se baseiam principalmente em engenharia social, especificamente usando ofertas de emprego falsas para cargos de prestígio ou de alto nível (o engodo do «emprego dos sonhos»). Os alvos são predominantemente nos setores aeroespacial e de defesa, seguidos por empresas de engenharia e tecnologia e pelo setor de mídia e entretenimento. 

Os videojogos são um dos passatempos característicos da era digital e, para muitas crianças, também são a sua primeira experiência real com comunidades online. É aqui que plataformas como o Minecraft e o Roblox se destacam, pois transformaram os jogos num espaço de criatividade e aprendizagem, ao mesmo tempo que oferecem aos jogadores liberdade quase ilimitada para construir mundos e partilhar as suas experiências com outras pessoas.

Por outro lado, essa mesma abertura, juntamente com a capacidade de descarregar, modificar e partilhar conteúdos criados pelos utilizadores, também cria oportunidades para agentes mal-intencionados. Os casos de malware escondido em executores do Roblox demonstram como os cibercriminosos estão ansiosos para explorar a confiança, a curiosidade e a atração por melhorias gratuitas disfarçadas como mods, cheats ou ferramentas de automação indispensáveis. Tal como os investigadores da ESET, a maior empresa europeia de cibersegurança, alertaram em 2015 e 2017, os riscos enfrentados pelos jogadores de Minecraft existem há anos e certamente não vão desaparecer.

O que é um mod de Minecraft?

Um mod (abreviação de ‘modificação’) de Minecraft é uma extensão de software personalizada para o Minecraft que altera ou melhora a jogabilidade, adicionando novos blocos, dimensões, mecânicas, texturas ou outros efeitos. Com o tempo, o modding evoluiu para se tornar um dos pilares do apelo do jogo para muitos jogadores, dando origem a um ecossistema próspero apoiado por comunidades e repositórios como o Planet Minecraft, CurseForge e Modrinth.

No entanto, como os mods são criados por utilizadores e distribuídos como ferramentas de terceiros, também podem ser um vetor de ataque conveniente. Os atacantes muitas vezes escondem os seus produtos maliciosos dentro de ficheiros que parecem ser mods, plugins ou ferramentas de fãs inofensivos. Os riscos foram novamente destacados recentemente em várias campanhas em grande escala:

• No início deste ano, pelo menos 500 repositórios GitHub espalharam um infostealer sob o disfarce de mods de Minecraft;
• Noutro ataque em grande escala, cibercriminosos foram apanhados a abusar das populares plataformas de modding Bukkit e CurseForge para distribuir o infostealer Fractureiser;
• Os riscos aplicam-se a todo o ecossistema de videojogos, conforme demonstrado pelos investigadores da ESET que examinaram campanhas que espalhavam o Lumma Stealer disfarçado como cheats para o jogo Hamster Kombat.

Como é que os atacantes transformam os mods de Minecraft em armas?

As campanhas maliciosas geralmente seguem um padrão familiar. O malware apresenta-se como um mod ou cheat conhecido ou indispensável, disponível para download no GitHub, fóruns de utilizadores ou vários repositórios de mods. Depois de instalado, inicia tarefas maliciosas em segundo plano ou descarrega cargas adicionais de servidores remotos para executar outras instruções na máquina.

Aqui estão alguns tipos comuns de malware que podem se disfarçar como um mod de Minecraft:

• Os trojans permitem que os atacantes assumam o controlo do dispositivo da vítima, roubem dados, instalem outro malware ou inundem o dispositivo com anúncios;
• Os infostealers roubam dados confidenciais do utilizador, como credenciais de login, informações de cartão de crédito ou cookies do navegador web;
• O ransomware encripta os ficheiros ou o sistema da vítima e exige pagamento, geralmente em criptomoeda, para a sua desencriptação;
• Os cryptominers permitem que os atacantes utilizem indevidamente o dispositivo de outra pessoa para minerar criptomoedas ilegalmente.

Para além disso, mods descarregados de locais não confiáveis apresentam riscos adicionais menos conhecidos. Por exemplo, um mod que é atualizado automaticamente pode tornar-se um veículo para contrabandear malware posteriormente. Muitos mods solicitam também privilégios amplos, incluindo modificações nos ficheiros do sistema, enquanto outros mods podem conter vulnerabilidades que são exploradas por atacantes, como foi o caso da vulnerabilidade BleedingPipe.

Mantenha-se seguro ao jogar Minecraft com mods
Mesmo que goste de modificar o Minecraft, existem medidas que pode tomar para reduzir os riscos de segurança e proteger o seu sistema:

• Use contas que não sejam de administrador para jogar: jogue Minecraft numa conta de utilizador padrão, em vez de uma com privilégios de administrador. Isto limita a capacidade de um mod malicioso alterar configurações críticas do sistema ou instalar software não autorizado;
• Mantenha o seu sistema e software atualizados: instale regularmente atualizações para o seu sistema operativo e todo o software nele instalado, incluindo software de segurança. Os patches corrigem vulnerabilidades conhecidas de software e reduzem o risco de comprometimento por mods maliciosos;
• Faça backups regulares: mantenha cópias dos seus ficheiros de sistema e dos dados do Minecraft. Os backups permitem que recupere rapidamente se um malware comprometer o seu sistema ou dados;
• Use software de segurança: esta é outra linha de defesa imprescindível contra todos os tipos de ameaças.

Modificar ou não modificar?
Os mods podem melhorar significativamente a sua experiência no Minecraft, oferecendo nova jogabilidade, criatividade e personalização. No entanto, é fundamental lembrar que qualquer ficheiro descarregado da Internet traz riscos inerentes. Como não há uma maneira infalível de garantir que um mod seja completamente seguro, a abordagem mais prudente é evitar mods não oficiais. Se ainda assim decidir usá-los, tenha muito cuidado.

Se for pai ou mãe, informe-se e informe os seus filhos não só sobre os riscos de descarregar software, mas converse também com eles sobre outros riscos que espreitam online.

​Imagem de alta resolução: https://fotos.aempress.com/WhiteHat/ESET/Minecraft

A equipa de investigação da ESET, a maior empresa europeia de cibersegurança, descobriu os primeiros casos conhecidos de colaboração entre o Gamaredon e o Turla. Ambos os grupos de ameaças estão associados ao Serviço Federal de Segurança da Federação Russa (FSB), e atacaram em conjunto alvos de alto perfil na Ucrânia. Nas máquinas afetadas, o Gamaredon implantou uma ampla gama de ferramentas e, numa dessas máquinas, o Turla conseguiu emitir comandos através de implantes Gamaredon.

“Ao longo deste ano, a ESET detetou o Turla em sete máquinas na Ucrânia. Uma vez que o Gamaredon está a comprometer centenas, senão milhares, de máquinas, isto sugere que o Turla está apenas interessado em máquinas específicas, provavelmente aquelas que contêm informações altamente confidenciais”, afirma o investigador da ESET Matthieu Faou, que descobriu a colaboração entre o Turla e o Gamaredon em cooperação com o investigador da ESET Zoltán Rusnák.

Em fevereiro de 2025, a ESET detetou a execução da backdoor Kazuar v3 do Turla pelo PteroGraphin e PteroOdd do Gamaredon numa máquina na Ucrânia. O PteroGraphin foi usado para reiniciar o Kazuar, possivelmente após ter bloqueado ou não ter sido iniciado automaticamente. Assim, o PteroGraphin provavelmente foi utilizado como um método de recuperação pelo Turla. Esta é a primeira vez que alguém conseguiu ligar estes dois grupos através de indicadores técnicos. Em abril e junho de 2025, a ESET detetou que o Kazuar v2 foi implantado usando as ferramentas PteroOdd e PteroPaste do Gamaredon.

O Kazuar v3 é o mais recente ramo da família Kazuar, um implante avançado de espionagem em C# que a ESET acredita ser usado exclusivamente pelo Turla; foi visto pela primeira vez em 2016. Outros malwares implantados pelo Gamaredon foram o PteroLNK, o PteroStew e o PteroEffigy.

“O Gamaredon é conhecido por utilizar spearphishing e ficheiros LNK maliciosos em unidades removíveis, pelo que um destes foi provavelmente o vetor de compromisso. Acreditamos com elevada confiança que ambos os grupos – associados separadamente ao FSB – estão a cooperar e que o Gamaredon está a fornecer acesso inicial ao Turla”, afirma Rusnák.

Como acima mencionado, ambos os grupos fazem parte do FSB. De acordo com o Serviço de Segurança da Ucrânia, acredita-se que o Gamaredon seja operado por oficiais do Centro 18 do FSB (também conhecido como Centro de Segurança da Informação) na Crimeia, que faz parte do serviço de contraespionagem do FSB. Quanto ao Turla, o Centro Nacional de Cibersegurança do Reino Unido atribui o grupo ao Centro 16 do FSB, que é a principal agência de inteligência de sinais da Rússia.

Do ponto de vista organizacional, vale a pena notar que as duas entidades normalmente associadas à Turla e à Gamaredon têm um longo histórico de colaboração, que remonta à era da Guerra Fria. A invasão em grande escala da Ucrânia em 2022 provavelmente reforçou esta convergência, com os dados da ESET mostrando claramente que as atividades do Gamaredon e do Turla se concentraram no setor de defesa ucraniano nos últimos meses.

O Gamaredon está ativo desde pelo menos 2013. É responsável por muitos ataques, principalmente contra instituições governamentais ucranianas. O Turla, também conhecido como Snake, é um grupo de ciberespionagem infame que está ativo desde pelo menos 2004, possivelmente até desde o final da década de 1990. Concentra-se principalmente em alvos de alto perfil, como governos e entidades diplomáticas, na Europa, Ásia Central e Médio Oriente. É conhecido por ter invadido grandes organizações, como o Departamento de Defesa dos Estados Unidos em 2008 e a empresa de defesa suíça RUAG em 2014.

Imagem de alta resolução: https://fotos.aempress.com/WhiteHat/ESET/Gamaredon-x-Turla

A equipa de investigação da ESET, a maior empresa europeia de cibersegurança, descobriu um novo agente de ameaças, ao qual deu o nome de GhostRedirector. Em junho de 2025, este agente de ameaças comprometeu pelo menos 65 servidores Windows, principalmente no Brasil, Tailândia, Vietname e Estados Unidos. Outras vítimas estavam localizadas no Canadá, Finlândia, Índia, Países Baixos, Filipinas e Singapura.

O GhostRedirector utilizou duas ferramentas personalizadas anteriormente não documentadas: um backdoor C++ passivo a que a ESET deu o nome de Rungan e um módulo malicioso do Internet Information Services (IIS) que apelidou de Gamshen. O GhostRedirector é muito provavelmente um agente de ameaças alinhado com a China. Enquanto o Rungan tem a capacidade de executar comandos num servidor comprometido, o objetivo do Gamshen é providenciar fraude de SEO como serviço para manipular os resultados do motor de busca Google, aumentando a classificação da página de um site-alvo configurado. O seu objetivo é promover artificialmente vários sites de jogos de azar.

“Embora o Gamshen apenas modifique a resposta quando a solicitação vem do Googlebot, ou seja, não veicula conteúdo malicioso nem afeta os visitantes regulares dos sites, a participação no esquema de fraude de SEO pode prejudicar a reputação do site comprometido, associando-o a técnicas de SEO duvidosas, bem como aos sites impulsionados”, explica o investigador da ESET Fernando Tavella, que fez a descoberta.

Além do Rungan e do Gamshen, o GhostRedirector também utiliza uma série de outras ferramentas personalizadas, além dos exploits publicamente conhecidos EfsPotato e BadPotato, para criar um utilizador privilegiado no servidor que pode ser usado para descarregar e executar outros componentes maliciosos com privilégios mais elevados. Também pode ser usado como um recurso alternativo caso o backdoor Rungan ou outras ferramentas maliciosas sejam removidas do servidor comprometido.

Embora as vítimas estejam em diferentes regiões geográficas, a maioria dos servidores comprometidos localizados nos Estados Unidos parece ter sido alugada para empresas sediadas no Brasil, Tailândia e Vietname, onde a maioria dos outros servidores comprometidos está realmente localizada. Assim, a ESET acredita que o GhostRedirector estava mais interessado em atacar vítimas na América Latina e no Sudeste Asiático. O GhostRedirector não demonstrou interesse num setor ou área específica; em vez disso, a ESET identificou vítimas em vários setores, incluindo educação, saúde, seguros, transportes, tecnologia e retalho.

Com base na telemetria da ESET, o GhostRedirector obtém acesso inicial às suas vítimas explorando uma vulnerabilidade, provavelmente uma injeção SQL. Os atacantes comprometem um servidor Windows e, em seguida, descarregam e executam várias ferramentas maliciosas: uma ferramenta de escalonamento de privilégios, malware que instala vários webshells ou o já mencionado backdoor e o trojan IIS. Além do objetivo óbvio das ferramentas de escalonamento de privilégios, elas também podem ser usadas como um plano alternativo caso o grupo perca o acesso ao servidor comprometido. Os recursos do backdoor incluem comunicação de rede, execução de ficheiros, listagem de diretórios e manipulação de serviços e chaves de registo do Windows.

“O GhostRedirector também demonstra persistência e resiliência operacional ao implantar várias ferramentas de acesso remoto no servidor comprometido, além de criar contas de utilizador fraudulentas, tudo num esforço para manter o acesso de longo prazo à infraestrutura comprometida”, disse Tavella.

A telemetria da ESET detetou ataques do GhostRedirector entre dezembro de 2024 e abril de 2025, e uma análise em toda a Internet realizada em junho de 2025 identificou mais vítimas. A ESET notificou todas as vítimas identificadas que descobriu através desta investigação.

​Imagens de alta resolução: https://fotos.aempress.com/WhiteHat/ESET/GhostRedirector

Investigadores da ESET, a maior empresa europeia de cibersegurança, descobriram o que chamaram "o primeiro ransomware conhecido potenciado por IA". O malware, que a ESET batizou de PromptLock, usa IA generativa para extrair, encriptar e possivelmente até destruir dados, decidindo autonomamente qual das funções correr.

“O malware PromptLock usa o modelo gpt-oss-20b da OpenAI localmente através da API Ollama para gerar scripts Lua maliciosos em tempo real, que depois executa. O PromptLock aproveita os scripts Lua gerados a partir de prompts predefinidos para enumerar o sistema de ficheiros local, inspecionar ficheiros de destino, extrair dados selecionados e realizar encriptação”, afirmaram os investigadores da ESET. "O ransomware PromptLock está escrito em Golang, e identificámos variantes tanto para Windows como para Linux carregadas no VirusTotal", acrescentaram os investigadores. Golang é uma linguagem de programação altamente versátil e multiplataforma que também ganhou popularidade entre programadores de malware nos últimos anos.

Como o PromptLock usa scripts gerados por IA, os indicadores de comprometimento (IoCs) podem variar entre execuções. Esta variabilidade apresenta desafios para a deteção. Se implementada corretamente, esta abordagem pode complicar significativamente a identificação das ameaças e tornar as tarefas dos defensores mais difíceis.

Os modelos de IA tornaram muito fácil criar mensagens de phishing convincentes, bem como imagens, áudio e vídeo deepfake. A disponibilidade destas ferramentas também reduz drasticamente a barreira de entrada para cibercriminosos menos experientes, permitindo que atuem acima do seu nível.

Entretanto, ao longo dos anos, o flagelo do ransomware tem testado a cibersegurança de inúmeras organizações, com este tipo de malware também a ser cada vez mais utilizado por grupos APT. Como a IA já é utilizada por todos os tipos de cibercriminosos de variadas maneiras, também está posicionada para impulsionar um aumento no volume e impacto dos ataques de ransomware.

Independentemente da intenção por trás do PromptLock, a sua descoberta aponta para como as ferramentas de IA podem ser usadas para automatizar várias etapas dos ataques de ransomware, desde o reconhecimento até a extração de dados, a uma velocidade e escala antes consideradas impossíveis. A perspetiva de malware potenciado por IA que consegue, entre outras coisas, adaptar-se ao ambiente e mudar as suas táticas em tempo real pode representar uma nova fronteira nos ciberataques.

Embora o PromptLock ainda não tenha sido identificado em ataques reais e possa ser considerado uma prova de conceito (PoC) ou um trabalho em progresso, a descoberta da ESET mostra como o uso malicioso de ferramentas de IA disponíveis publicamente pode potenciar ransomware e outras ciberameaças.

Imagens de alta resolução: https://fotos.aempress.com/WhiteHat/ESET/PromptLock