A ESET, a maior empresa europeia de cibersegurança, alerta para a escalada do ciberbullying e apresenta dez mitos que dificultam a prevenção e a resposta de famílias e escolas. Dados do Cyberbullying Research Center revelam que mais de 58% dos alunos do ensino básico e secundário nos EUA já sofreram algum tipo de assédio online nas suas vidas. Em comparação, em 2019, esse número era de 37% e, uma década antes, apenas um quarto (24%). Outros dados afirmam que quase metade (43%) dos adolescentes que jogam videojogos já foram vítimas de ciberbullying. Alguns foram chamados de nomes ofensivos. Outros foram ameaçados fisicamente, enquanto muitos receberam conteúdo sexualmente explícito.

Em Portugal, o fenómeno regista igualmente um ritmo de crescimento alarmante. Um recente relatório do Relatório do Grupo de Trabalho de Combate ao Bullying nas Escolas, formado pelo Centro Internet Segura (CIS), aponta para a existência de um fenómeno de vitimização preocupante nas escolas portuguesas, com uma prevalência superior à de outros países europeus.

Os pais estão corretamente preocupados com essas tendências. Contudo, como muitos fenómenos online, meias verdades, mitos e equívocos podem distorcer a realidade do ciberbullying e dificultar a tomada de decisões dos pais. A ESET decidiu desconstruir os dez mitos mais comuns associados ao ciberbullying.

1. O que acontece online permanece online
Como muitas tendências online, o bullying é facilitado pela tecnologia, mas tem as suas raízes profundas na psique humana. Há muitas razões pelas quais as crianças se podem envolver em comportamentos de bullying, desde pressão dos colegas até baixa autoestima, busca por atenção e abuso doméstico. As plataformas digitais, como as redes sociais, podem permitir que elas intimidem outras pessoas de forma mais generalizada. Mas isso não se limita à esfera online. Os agressores podem querer atormentar as suas vítimas tanto na vida real quanto online. E mesmo que não o façam, os danos psicológicos que podem causar certamente têm um impacto no mundo real sobre as suas vítimas.

2. São apenas crianças a serem crianças
Descartar o bullying como algo que as crianças fazem como parte normal do crescimento ameaça minimizar a sua potencial gravidade. Na verdade, pode ter um impacto sério a longo prazo no desenvolvimento social e emocional do indivíduo que está a ser vítima de bullying. Também é verdade que o ciberbullying não é algo que acontece apenas com crianças. Trolling, doxing, revenge porn e stalking são formas de ciberbullying familiares para a maioria de nós.

3. Ignore e isso vai passar
Isto raramente funciona. Pela mesma lógica, é um erro pensar que denunciar o comportamento de ciberbullying só vai piorar a situação. Na verdade, às vezes, tentar ignorar pode encorajar o agressor, se ele acreditar que as suas ações estão a surtir efeito. Só tomando medidas conjuntas e enfrentando o agressor diretamente é que há esperança de resolver a situação.

4. O meu filho vai contar-me se algo estiver errado
As crianças passam por várias fases distintas enquanto crescem, mudando a sua relação psicológica e emocional com os pais ao longo do processo. Especialmente quando entram na adolescência, elas podem ficar com vergonha de contar que algo está errado ou sentir-se humilhadas. Elas podem não compreender a gravidade do que lhes está a acontecer. Ou podem ficar preocupadas que as castiguem ou tirem os seus dispositivos se disserem alguma coisa. Tranquilizá-las de que está lá para apoiá-las, e não para julgá-las ou puni-las, é uma das melhores coisas que pode fazer para as ajudar.

5. Remova a tecnologia e resolverá o problema
O ciberbullying é possibilitado pela tecnologia, mas certamente não desaparece milagrosamente se confiscar o smartphone do seu filho. Se ele estiver a ser vítima de bullying na escola, haverá muitas oportunidades para que o assédio continue offline. Punir o seu filho removendo o seu dispositivo irá agradar ao agressor e não ajudará em nada o relacionamento com os seus filhos.

6. É quase impossível identificar os agressores online
Às vezes, o anonimato online realmente dá poder aos agressores, assim como permite que o cibercrime prospere. Mas a realidade é que a maioria dos agressores conhece as suas vítimas, sejam elas colegas de escola, ex-amigos ou parceiros românticos. Também é verdade que as redes sociais e outras plataformas são capazes de desmascarar certos utilizadores se for comprovado que eles violaram os termos de serviço por meio de assédio ou agressão.

7. O ciberbullying é fácil de identificar
O desafio do ciberbullying é que ele ocorre virtualmente. Não deixa cicatrizes físicas, mas pode certamente causar danos mentais às vítimas. Isso dificulta as coisas para os pais, especialmente se acharem complicado conversar abertamente com os seus filhos sobre sentimentos. Não pode confiar que o seu filho lhe dirá que algo está errado. Portanto, é preciso melhorar a sua capacidade de identificar os sinais de alerta. Mudanças repentinas no comportamento, atitude ou desempenho académico podem ser um indicador útil. Mas não são uma certeza. Também pode ser necessário fazer perguntas delicadas.

8. Os agressores são pessoas más e marginalizadas
Quando os agressores são finalmente desmascarados, a verdade sobre a sua identidade pode muitas vezes chocar amigos e familiares. As pessoas podem dizer e fazer coisas online que nunca sequer considerariam no mundo real. A maioria dos agressores age assim porque eles próprios foram vítimas de bullying ou abuso, porque têm baixa autoestima ou problemas de saúde mental, ou devido à pressão dos colegas. É fácil retratá-los como o diabo, especialmente se estiverem a causar danos aos seus filhos. Mas a verdade é geralmente mais complicada do que isso.

9. O ciberbullying causa um grande número de suicídios
Dados oficiais dos EUA indicam que 14,9% dos adolescentes já foram vítimas de ciberbullying e 13,6% dos adolescentes já tentaram suicídio de forma grave. Mas correlação não implica causalidade. Na verdade, há muitas razões pelas quais um jovem pode desejar acabar com a sua vida, e o ciberbullying pode ou não ser uma dessas razões. De qualquer forma, devemos estar atentos aos perigos que o assédio online persistente representa para os membros mais vulneráveis da sociedade.

10. As plataformas de redes sociais são as culpadas
As redes sociais e as plataformas de mensagens são frequentemente demonizadas pelo papel que desempenham como facilitadoras do ciberbullying. Mas, cada vez mais, estão a ser obrigadas pelos legisladores a policiar melhor os seus ecossistemas. A Lei de Segurança Online do Reino Unido, por exemplo, é uma das leis mais rigorosas do mundo, impondo um “dever de cuidado” a certos prestadores de serviços online para garantir o bem-estar dos seus utilizadores. O bullying nem sempre é fácil de identificar. O contexto, as nuances, a gíria e as idiossincrasias linguísticas são, por vezes, difíceis de detetar com precisão pelos algoritmos. Mas estão a melhorar nesse aspeto, como devem. De qualquer forma, é importante que os pais conversem com os seus filhos sobre os riscos e as armadilhas das redes sociais.

Como podemos atuar
“Grande parte do ciberbullying começa numa navegação online inconsciente, na exposição excessiva de dados pessoais e no contacto com ataques de engenharia social”, explica Ricardo Neves, Responsável de Marketing da ESET Portugal. “É fundamental proteger e capacitar os mais jovens, ajudando-os a reconhecer riscos, limitar o acesso a conteúdos nocivos e reduzir a partilha indevida de informação”.

Lembra ainda que “a tecnologia, quando usada de forma equilibrada e criteriosa, pode ser uma aliada essencial na mitigação dos riscos. Ferramentas como o controlo parental, a definição de limites de tempo e horários, bem como a proteção da webcam e a monitorização do microfone nos dispositivos, contribuem para reforçar a segurança e a privacidade. Também a monitorização de violações de dados ajuda a detetar precocemente potenciais exposições em espaços digitais obscuros que muitos casos estão associados ao ciberbullying”.

A par da tecnologia, importa investir na educação e sensibilização. Iniciativas internacionais como o programa Safer Kids Online, promovido pela ESET, disponibilizam guias, vídeos e materiais que apoiam famílias e escolas neste desafio.

Nenhum pai ou mãe quer que o seu filho seja vítima de ciberbullying. Mas se a alternativa for isolá-lo do mundo digital, isso pode fazer mais mal do que bem. O segredo é ficar atento a quaisquer sinais de alerta, manter um diálogo aberto e oferecer apoio emocional (e técnico). Elabore um plano e resolva o problema em equipa.

Mais informações: https://www.welivesecurity.com/en/kids-online/what-happens-online-stays-online-and-other-cyberbullying-myths-debunked/

A ESET, maior empresa europeia de cibersegurança, compila regularmente as principais estatísticas dos seus sistemas de deteção. A partir do seu mais recente relatório de ameaças digitais, revela dados específicos de Portugal que recolheu ao longo do primeiro semestre de 2025.

As sete ameaças mais detetadas em Portugal neste período coincidem quase exatamente com as detetadas globalmente, diferindo principalmente na ordem, embora o primeiro lugar se mantenha. 

Todas estas ameaças são trojans (em português, cavalos de Troia), um tipo de malware que se faz passar por um programa normal para enganar os utilizadores. Ao contrário de vírus e worms, os trojans geralmente não se injetam noutros ficheiros ou tentam propagar-se de outra forma. Em vez disso, depois de serem instalados, executam uma payload que pode consistir em qualquer outro malware, mas que atualmente costuma agir como um ponto de acesso entre o agente malicioso e o dispositivo afetado.

O trojan HTML/Phishing.Agent foi o malware mais detetado em Portugal e no mundo pela ESET no primeiro semestre de 2025. Este malware consiste em ficheiros HTML maliciosos distribuídos por email em esquemas de phishing, uma técnica de engenharia social em que os atacantes fingem ser uma entidade legítima para levar os utilizadores a revelar dados pessoais ou, como neste caso, a instalar malware.

O DOC/Fraud ocupa o segundo lugar, representando principalmente documentos Microsoft Word carregados com diversos tipos de conteúdos fraudulentos e distribuídos como anexos de email. Destaque ainda para o HTML/FakeCaptcha, a segunda ameaça mais detetada globalmente e terceira em Portugal, um novo tipo de engenharia social virtualmente inexistente até há um ano. Este malware usa uma mensagem de erro ou verificação falsa para levar os utilizadores a copiar e colar um script malicioso e depois executá-lo, fazendo-se passar por um sistema CAPTCHA legítimo.

O JS/Agent, em quarto lugar, é o nome de deteção para malware distribuído sob a forma de ficheiros JavaScript injetados em websites maliciosos, ou legítimos e comprometidos, que infetam os dispositivos dos utilizadores quando estes visitam o website. O quinto lugar introduz o Win/Exploit.CVE-2017-11882, um malware que tira partido de uma vulnerabilidade no editor de equações do Microsoft Office 2017. Esta vulnerabilidade já foi corrigida pela Microsoft, mas os agentes maliciosos contam com o facto de muitos utilizadores ainda não a terem instalado. O HTML/Phishing aparece em sexto lugar, e é uma variante do malware mais detetado, recorrendo a URLs maliciosos embebidos em emails para infetar os utilizadores. A tabela termina com o PDF/Phishing.Agent, um malware semelhante às outras entradas que recorrem a phishing para enganar os utilizadores, mas que é distribuído através de ficheiros PDF em vez de HTML.

«Divulgar estes dados específicos de Portugal permite às empresas e aos consumidores compreenderem que estas ameaças não são abstratas nem distantes», avança Ricardo Neves, Marketing Manager da ESET Portugal. «Estão a acontecer aqui e têm um impacto real na nossa sociedade. Conhecer os vetores mais utilizados pelos atacantes no nosso país é fundamental para ajustar políticas de segurança, formar equipas e evitar decisões que, por desconhecimento, colocam em risco a operação, os dados e a confiança digital. O nosso papel é proteger mas também sensibilizar», clarifica.

Imagens de alta resolução: https://fotos.aempress.com/WhiteHat/ESET/Threat-Report-H1-2025
Relatório global de ameaças da ESET: https://web-assets.esetstatic.com/wls/en/papers/threat-reports/eset-threat-report-h12025.pdf

A maior empresa europeia de cibersegurança ESET acaba de lançar o seu mais recente relatório sobre as ameaças digitais que marcaram o primeiro semestre de 2025. Entre os dados mais preocupantes está o crescimento explosivo de um novo tipo de ataque, batizado de ClickFix, que aumentou mais de 500% desde o final de 2024 e já é o segundo ataque mais comum no mundo digital, logo atrás do phishing.

O ClickFix engana os utilizadores com mensagens de erro falsas, levando-os a copiar e colar comandos perigosos nos seus dispositivos — uma técnica simples, mas altamente eficaz, que funciona em todos os principais sistemas operativos (Windows, macOS e Linux). O objetivo é instalar programas maliciosos para roubar informações, controlar remotamente os computadores ou até minerar criptomoedas.

“Estamos a ver esta técnica a ser usada para todo o tipo de crimes online — desde roubo de dados a ataques personalizados por grupos organizados”, explica Jiří Kropáč, diretor dos Threat Prevention Labs da ESET.

Outras tendências destacadas incluem:

• Troca de líderes entre ladrões digitais de dados (infostealers): o SnakeStealer tornou-se o programa mais usado para roubar passwords e outras informações pessoais;
• Ataques de ransomware em guerra interna: grupos de hackers estão a lutar entre si, o que gera instabilidade no submundo do crime digital e quebra de confiança nas redes de extorsão;
• Fraudes em telemóveis a crescer: as deteções de aplicações maliciosas com anúncios indesejados dispararam 160%, muitas delas usando truques para imitar apps legítimas;
• Exploração de pagamentos por aproximação (NFC): aumentaram mais de 35 vezes as tentativas de fraude com cartões digitais e carteiras virtuais. Algumas redes de criminosos usam até vários telemóveis em simultâneo para escalar os ataques.
  

A ESET também destaca os seus esforços bem-sucedidos para interromper grandes redes de malware, como o Lumma Stealer e o Danabot, demonstrando o impacto positivo da cooperação internacional contra o crime digital.

“A primeira metade de 2025 foi tudo menos calma. Vimos novas formas de enganar as pessoas, ataques mais sofisticados em smartphones e grandes mudanças no mundo do crime cibernético”, conclui Kropáč.

Mais informações: https://www.welivesecurity.com/en/eset-research/eset-threat-report-h1-2025/
Relatório completo: https://web-assets.esetstatic.com/wls/en/papers/threat-reports/eset-threat-report-h12025.pdf

A ESET Portugal realizou no passado dia 29 de maio, em Ílhavo, mais uma edição do ESET Partner Meeting, que contou com a presença de mais de 100 parceiros de todo o país. Nesta edição, destacámos o novo programa ESET Partner Connect, concebido para impulsionar o crescimento dos canais B2C, B2B e MSP, oferecendo novas oportunidades de negócio e maior proximidade ao mercado.

O Diretor Geral da ESET Portugal, Nuno Mendes, apresentou o futuro programa ESET Partner Connect, com foco nos canais B2C, B2B e MSP. Este programa representa uma evolução e traduz-se em novas oportunidades de negócio e maior proximidade ao mercado.

Ricardo Neves, Marketing Manager da ESET Portugal, destacou a forma como a empresa tem vindo a adaptar-se à evolução das ciberameaças, nos diferentes mercados de consumo e empresarial. A apresentação reforçou a robustez e diversidade do portefólio da ESET, assente em tecnologia multicamada com inteligência artificial, desenvolvido para proteger consumidores e empresas num cenário digital cada vez mais desafiante.
A componente técnica do evento contou com uma intervenção de Ondrej Kubovič, Security Awareness Specialist da ESET Headquarters, que apresentou uma visão comparativa exclusiva da evolução das ciberameaças em Portugal e no contexto global. A análise incluiu temas críticos como infostealers (Redline, Lumma), phishing com ReCaptcha, apps maliciosas e fraudes com identidade de celebridades, como o caso Nomani. A sessão alertou para a crescente necessidade de reforçar a ciber-resiliência nos vários setores.

Benjamin Burgher-Fuller, Global Sales Engineer Lead da ESET Headquarters, abordou a oferta ESET MDR (Managed Detection & Response), demonstrando os seus benefícios e partilhando casos práticos que comprovam a eficácia da solução na proteção contra ameaças avançadas. O evento terminou com a apresentação de Alexander Skopetz, da Xopero, empresa membro da ESET Technology Alliance, que destacou o papel das soluções de backup e disaster recovery como componentes críticas de uma estratégia de proteção de dados abrangente e eficaz para parceiros de canal.

Nuno Mendes, Diretor Geral da ESET Portugal, afirmou que: “Este evento foi um verdadeiro sucesso e reflete não só o crescimento exponencial da ESET no canal de parceiros, como também a maturidade e o compromisso desta comunidade em levar ao mercado nacional soluções de cibersegurança de confiança — desenvolvidas na Europa, com base em inovação, privacidade e independência tecnológica. É este alinhamento que nos permite continuar a crescer juntos”.

O ESET Partner Meeting 2025 reforçou mais uma vez o compromisso da fabricante com os seus parceiros, promovendo um espaço de partilha, alinhamento estratégico e visão colaborativa para o futuro da cibersegurança em Portugal.
Fotos de alta resolução: https://fotos.aempress.com/WhiteHat/ESET/ESET-Partner-Meeting-2025
​

A ESET, empresa europeia líder em soluções de cibersegurança, lançou o seu mais recente Relatório de Atividade APT, que destaca as atividades de grupos APT (Ameaça Persistente Avançada) selecionados e documentados por investigadores da ESET de outubro de 2024 a março de 2025. Durante o período monitorizado, grupos alinhados com a Rússia, nomeadamente o Sednit e o Gamaredon, mantiveram campanhas agressivas visando principalmente a Ucrânia e países da UE.

A Ucrânia foi alvo da maior intensidade de ciberataques contra as infraestruturas críticas e as instituições governamentais do país. O grupo Sandworm, também alinhado com a Rússia, intensificou as operações destrutivas contra as empresas ucranianas do setor da energia, utilizando um novo wiper (malware que apaga dados) chamado ZEROLOT. Os grupos alinhados com a China continuaram a participar em campanhas de espionagem persistentes, centradas em organizações europeias.

O Gamaredon continuou a ser o grupo APT mais prolífico a visar a Ucrânia, melhorando a ofuscação de malware e introduzindo o PteroBox, um stealer (malware que rouba ficheiros) que utiliza o Dropbox.

"O infame grupo Sandworm concentrou-se fortemente no comprometimento das infraestruturas energéticas ucranianas. Em casos recentes, implantou o ZEROLOT na Ucrânia. Para isso, os atacantes abusaram da Política de Grupo do Active Directory nas organizações afetadas", afirmou Jean-Ian Boutin, Diretor de Investigação de Ameaças da ESET.

O Sednit refinou a sua exploração de vulnerabilidades de scripts entre sites em serviços de webmail, expandindo a Operação RoundPress da Roundcube para incluir Horde, MDaemon e Zimbra. A ESET descobriu que o grupo explorou com sucesso uma vulnerabilidade de dia zero no Servidor de Email MDaemon contra empresas ucranianas. Vários ataques do Sednit contra empresas de defesa localizadas na Bulgária e na Ucrânia utilizaram campanhas de spearphishing (phishing personalizado) de email como isco. Outro grupo alinhado com a Rússia, o RomCom, demonstrou capacidades avançadas ao explorar vulnerabilidades de dia zero contra o Microsoft Windows e o Mozilla Firefox.

Na Ásia, os grupos APT alinhados com a China continuaram as suas campanhas contra instituições governamentais e académicas. Ao mesmo tempo, os agentes de ameaças alinhados com a Coreia do Norte aumentaram significativamente as suas operações dirigidas à Coreia do Sul, dando especial ênfase a indivíduos, empresas privadas, embaixadas e pessoal diplomático.

O Mustang Panda continuou a ser o mais ativo, visando instituições governamentais e empresas de transporte marítimo através de loaders (malware que carrega malware adicional) Korplug e unidades USB maliciosas. O DigitalRecyclers continuou a visar entidades governamentais da UE, implementando os backdoors (ferramentas para ultrapassar ciberproteção) RClient, HydroRShell e GiftBox. O PerplexedGoblin utilizou o seu novo backdoor de espionagem, que a ESET designou por NanoSlate, contra uma entidade governamental da Europa Central, enquanto o Webworm visou uma organização governamental sérvia utilizando a VPN SoftEther, enfatizando a contínua popularidade desta ferramenta entre os grupos alinhados com a China.

Noutros locais da Ásia, os grupos APT alinhados com a Coreia do Norte estiveram particularmente ativos em campanhas com motivações financeiras. O DeceptiveDevelopment alargou significativamente o seu alvo, utilizando ofertas de emprego falsas principalmente nos setores de criptomoeda, blockchain e finança. O grupo utilizou técnicas inovadoras de engenharia social para distribuir o malware multiplataforma WeaselStore. O roubo de criptomoedas Bybit, atribuído pelo FBI ao grupo TraderTraitor, envolveu um comprometimento da cadeia de abastecimento da Safe{Wallet} que causou perdas de aproximadamente 1,5 mil milhões de dólares.

Entretanto, outros grupos alinhados com a Coreia do Norte registaram flutuações no seu ritmo operacional: no início de 2025, o Kimsuky e o Konni voltaram aos seus níveis de atividade habituais após um declínio notável no final de 2024, desviando o seu alvo dos think tanks de língua inglesa, ONGs e especialistas da Coreia do Norte para se concentrarem principalmente em entidades e pessoal diplomático sul-coreanos; e o Andariel ressurgiu, após um ano de inatividade, com um ataque sofisticado contra uma empresa de software industrial sul-coreana.

Os grupos APT alinhados com o Irão mantiveram o seu foco principal na região do Médio Oriente, visando predominantemente organizações governamentais e entidades dos setores da indústria e da engenharia em Israel. Para além disso, a ESET observou um aumento global significativo nos ciberataques contra empresas de tecnologia, em grande parte atribuído ao aumento da atividade do DeceptiveDevelopment.

"As operações destacadas são representativas do cenário mais amplo de ameaças que investigámos durante este período. Ilustram as principais tendências e desenvolvimentos, e contêm apenas uma pequena fração dos dados de inteligência de cibersegurança fornecidos aos clientes dos relatórios APT da ESET", acrescentou Boutin.

Relatório completo: https://web-assets.esetstatic.com/wls/en/papers/threat-reports/eset-apt-activity-report-q4-2024-q1-2025.pdf

O Departamento de Justiça dos Estados Unidos (DOJ) apresentou uma acusação contra funcionários da empresa chinesa I-SOON pelo seu envolvimento em várias operações de ciberespionagem global. A ESET documentou anteriormente estas operações nos seus relatórios de Threat Intelligence e atribuiu-as ao grupo FishMonger – o braço operacional da I-SOON – incluindo um que envolveu sete organizações que a ESET identificou como sendo alvo de uma campanha de 2022 que denominou Operação FishMedley.

Juntamente com a acusação, o FBI (que se refere ao FishMonger como Aquatic Panda) adicionou os nomes citados à sua lista dos mais procurados. A acusação descreve vários ataques que estão fortemente relacionados ao que a ESET publicou num relatório no início de 2023. Hoje, a ESET partilha informação sobre esta campanha global que teve como alvo governos, organizações não governamentais (ONGs) e think tanks na Europa, Ásia e Estados Unidos.

“Durante 2022, a ESET investigou vários comprometimentos onde implantes como o ShadowPad e o SodaMaster, que costumam estar associados a agentes de ameaça alinhados com a China, foram usados. Conseguimos agrupar sete incidentes independentes para a Operação FishMedley”, diz o investigador da ESET Matthieu Faou, que investigou a operação do FishMonger. “Durante a nossa investigação, conseguimos confirmar de forma independente que o FishMonger é uma equipa de espionagem operada pela I-SOON, uma empresa chinesa com sede em Chengdu que sofreu uma infame fuga de documentos em 2024”, acrescenta Faou.

Em 2022, na Operação FishMedley, o FishMonger atacou organizações governamentais em Taiwan e na Tailândia, instituições de caridade católicas na Hungria e nos Estados Unidos, uma ONG nos Estados Unidos, um think tank geopolítico em França e uma organização desconhecida na Turquia. Estas verticais e países são diversos, mas a maioria é de interesse óbvio para o governo chinês.

Na maioria dos casos, os atacantes pareciam ter acesso privilegiado dentro da rede local, como credenciais de administrador. Os operadores utilizaram implantes, como o ShadowPad, o SodaMaster e o Spyder, que são comuns ou exclusivos de atores de ameaça alinhados com a China. Entre outras ferramentas usadas pelo FishMonger no FishMedley estão um exfiltrador de passwords, uma ferramenta usada para interagir com o Dropbox, provavelmente usada para exfiltrar dados da rede da vítima, o scanner de rede fscan e um scanner NetBIOS.

O FishMonger está sob a alçada do Grupo Winnti e, muito provavelmente, está a operar a partir da China, da cidade de Chengdu, onde o escritório da I-SOON presumivelmente continua a estar localizado. O FishMonger também é conhecido como Earth Lusca, TAG 22, Aquatic Panda ou Red Dev 10. A ESET publicou uma análise deste grupo no início de 2020, quando visou fortemente as universidades de Hong Kong durante os protestos cívicos que começaram em junho de 2019.

O grupo é conhecido por realizar ataques do tipo “watering hole”. O conjunto de ferramentas do FishMonger inclui o ShadowPad, o Spyder, o Cobalt Strike, o FunnySwitch, o SprySOCKS e o BIOPASS RAT.

Mais informações: https://www.welivesecurity.com/en/eset-research/operation-fishmedley

Investigadores da ESET detetaram atividades de ciberespionagem realizadas pelo grupo MirrorFace, alinhado com a China, contra um instituto diplomático da Europa Central no contexto da World Expo 2025, que será realizada este ano em Osaka, no Japão.

Conhecido principalmente pelas suas atividades de ciberespionagem contra organizações no Japão, tanto quanto a ESET conseguiu determinar esta é a primeira vez que o MirrorFace mostra intenção de se infiltrar numa entidade europeia. A campanha foi descoberta no segundo e terceiro trimestre de 2024 e denominada Operação AkaiRyū (japonês para RedDragon) pela ESET; ela mostra TTPs (Técnicas, Táticas e Procedimentos) atualizados que a ESET observou ao longo do ano passado.

“O MirrorFace teve como alvo um instituto diplomático da Europa Central. Tanto quanto sabemos, esta é a primeira e, até à data, a única vez que o MirrorFace tem como alvo uma entidade na Europa”, afirma o investigador da ESET Dominik Breitenbacher, que investigou a campanha AkaiRyū.

Os operadores do MirrorFace prepararam o seu ataque de spearphishing (phishing direcionado) criando um email que faz referência a uma interação anterior e legítima entre o instituto e uma ONG japonesa. Durante este ataque, o grupo utilizou a próxima World Expo 2025 – a realizar em Osaka, no Japão – como isco. Isto mostra ainda que, mesmo considerando este novo alvo geográfico mais alargado, o MirrorFace continua concentrado no Japão e em eventos com ele relacionados.

Antes do ataque ao instituto diplomático europeu, o MirrorFace visou dois funcionários de um instituto de investigação japonês, utilizando um documento Word malicioso e protegido por palavra-passe, entregue de forma desconhecida.

Durante a análise da Operação AkaiRyū, a ESET descobriu que o MirrorFace atualizou significativamente os seus TTPs e ferramentas. O MirrorFace começou a usar o ANEL (também conhecido como UPPERCUT) – uma backdoor considerada exclusiva do grupo APT10 – que se acreditava ter sido abandonada há anos; no entanto, a atividade mais recente sugere que o desenvolvimento do ANEL foi reiniciado. O ANEL suporta comandos básicos para manipulação de ficheiros, execução de payloads e captura de imagens de ecrã.

“A utilização do ANEL também fornece mais provas no debate em curso sobre a potencial ligação entre o MirrorFace e o APT10. O facto de o MirrorFace ter começado a utilizar o ANEL, juntamente com outras informações previamente identificadas, como a semelhança de alvos e de código de malware, levou-nos a alterar a nossa atribuição: acreditamos agora que o MirrorFace é um subgrupo do APT10”, acrescenta Breitenbacher.

Além disso, o MirrorFace implantou uma variante altamente personalizada do AsyncRAT, incorporando este malware numa cadeia de execução intrincada e recém-observada que executa o RAT (trojan de acesso remoto) dentro da Windows Sandbox. Este método esconde eficazmente as atividades maliciosas das capacidades de controlos de segurança para detetar a infeção.

Paralelamente ao malware, o MirrorFace também começou a implementar o Visual Studio Code (VS Code) para abusar da sua funcionalidade de túneis remotos. Os túneis remotos permitem ao MirrorFace estabelecer um acesso furtivo à máquina comprometida, executar código arbitrário e implantar outras ferramentas. Finalmente, o MirrorFace continuou a empregar a sua atual backdoor principal, HiddenFace, reforçando ainda mais a persistência em máquinas comprometidas.

Entre junho e setembro de 2024, a ESET observou o MirrorFace a conduzir várias campanhas de spearphishing. Com base nos dados da ESET, os atacantes obtiveram acesso inicial principalmente enganando os alvos para que abrissem anexos ou links maliciosos e, em seguida, aproveitaram aplicações e ferramentas legítimas para instalar furtivamente o seu malware. Especificamente, na Operação AkaiRyū, o MirrorFace abusou de aplicações desenvolvidas pela McAfee e também de uma desenvolvida pela JustSystems para executar o ANEL.

A ESET colaborou com o instituto diplomático da Europa Central afetado e realizou uma investigação forense. A estreita colaboração com a organização afetada proporcionou uma visão rara e profunda das atividades pós-comprometimento que, de outra forma, não teriam sido vistas. A ESET apresentou os resultados desta análise na Joint Security Analyst Conference (JSAC) em janeiro de 2025.

Mais informações: https://www.welivesecurity.com/en/eset-research/operation-akairyu-mirrorface-invites-europe-expo-2025-revives-anel-backdoor

O departamento de investigação da ESET descobriu um grupo de Ameaça Persistente Avançada (APT) ligado à China, até agora desconhecido, chamado PlushDaemon e envolvido em operações de ciberespionagem.

O principal vetor de acesso inicial do PlushDaemon é a interferência nas atualizações legítimas de aplicações chinesas, mas a ESET também identificou um ataque contra um popular serviço de VPN da Coreia do Sul. O grupo está ativo pelo menos desde 2019, conduzindo operações de espionagem contra indivíduos e entidades na China continental, Taiwan, Hong Kong, Coreia do Sul, Estados Unidos e Nova Zelândia.

"Em maio de 2024, detetámos código malicioso num instalador NSIS para Windows que utilizadores da Coreia do Sul tinham descarregado do site do software legítimo de VPN, IPany. Numa análise mais aprofundada, descobrimos que o instalador estava a implementar tanto o software legítimo como uma backdoor. Contactámos o desenvolvedor do software VPN para os informar sobre a falha de segurança, e o instalador malicioso foi removido do site," afirma Facundo Muñoz, investigador da ESET responsável pela descoberta.

Além disso, o PlushDaemon obtém o seu acesso inicial através da técnica de roubo de atualizações legítimas de aplicações chinesas, redirecionando o tráfego para servidores controlados pelos atacantes. A ESET também observou que o grupo ganha acesso através da exploração de vulnerabilidades em servidores web legítimos. 

​A backdoor SlowStepper é utilizada exclusivamente pelo PlushDaemon e destaca-se pela sua capacidade de descarregar e executar dezenas de módulos adicionais em Python com funcionalidades de espionagem. O malware recolhe uma ampla gama de dados de diferentes browsers sendo capaz de tirar fotografias, procurar documentos, recolher informações de várias aplicações – incluindo aplicações de mensagens (como WeChat e Telegram) –, espiar através de áudio e vídeo e roubar credenciais de acesso.

"Os inúmeros componentes no conjunto de ferramentas do PlushDaemon, e o seu vasto histórico de versões, mostram que, embora desconhecido anteriormente, este grupo APT alinhado à China tem trabalhado diligentemente para desenvolver uma diversas ferramentas, tornando-o uma ameaça significativa a ser monitorizada," conclui Muñoz. 

No habitual jogo do gato e do rato com os gestores de TI, na segunda metade de 2024 os cibercriminosos mantiveram-se ocupados, encontrando lacunas na segurança e formas inovadoras de expandir o seu leque de vítimas. Mas houve um tipo de ameaça e de alvo que, de acordo com os investigadores da ESET, se destacaram: os “infostealers” e as criptomoedas.

O “Threat Report” da ESET referente ao período de junho a novembro de 2024 salienta as ameaças recorrentes dos chamados “Infostealers”, bem como alterações registadas nas ferramentas mais usadas para roubo de dados. 
Sem surpresa, com as criptomoedas a atingir valores recordes no segundo semestre de 2024, os dados das carteiras de criptomoedas foram um dos principais alvos dos agentes maliciosos. Na telemetria da ESET, isso refletiu-se num aumento nas deteções de ‘cryptostealers’ [infostealers específicos para roubo de dados de carteiras de criptomoedas] em várias plataformas. 

Curiosamente, o aumento mais dramático foi registado no macOS, onde o chamado Password Stealing Ware – que visa fortemente as credenciais de carteiras de criptomoedas – registou um aumento de 127% em comparação com o primeiro semestre do ano. Ao mesmo tempo, as ameaças financeiras no Android, que visam aplicações bancárias e carteiras de criptomoedas, aumentaram 20%.

Os utilizadores de Android, mas também os de dispositivos iOS, devem estar atentos a um novo vetor de ataque, já capturado ‘in the wild’ e analisado pelos investigadores da ESET no segundo semestre de 2024. Nesses ataques, os cibercriminosos aproveitaram as tecnologias Progressive Web App (PWA) e WebAPK para contornar as medidas de segurança tradicionais vinculadas aos aplicativos móveis. 

A razão é que nem os PWAs nem os WebAPKs exigem que os utilizadores concedam permissões explícitas para instalar aplicações de fontes desconhecidas; desta forma, os utilizadores das duas maiores plataformas móveis podem acabar por instalar involuntariamente aplicações maliciosas que roubam credenciais bancárias. E, a menos que haja uma mudança na forma como estas plataformas abordam este tipo de tecnologias, a ESET prevê o aparecimento de campanhas de phishing mais sofisticadas e variadas, utilizando PWAs e WebAPKs.

Redes sociais, IA e vídeos ‘deepfake’

Recentemente, as águas das redes sociais tornaram-se ainda mais turvas, com o aparecimento de uma série de novas fraudes que utilizam vídeos ‘deepfake’ e publicações com marcas de empresas para atrair as vítimas para esquemas de investimento fraudulentos. 

Esses golpes, rastreados pela ESET como HTML/Nomani, tiveram um aumento de 335% nas deteções entre os períodos do relatório, e não se espera que o seu crescimento diminua.

O segundo semestre de 2024 também deu origem a um novo golpe direcionado aos utilizadores de plataformas populares de reserva de alojamento, como o Booking.com e o Airbnb. Utilizando um kit de ferramentas denominado Telekopye, originalmente desenvolvido para defraudar pessoas em mercados online, os burlões utilizam contas comprometidas de fornecedores de alojamento legítimos para identificar pessoas que tenham reservado recentemente uma estadia e, em seguida, direcionam-nas para páginas de pagamento fraudulentas.

O relatório completo da ESET pode ser acedido aqui.