PacificNews#186: The Foundation
Telegram fracassa em ofensiva contra a indústria de golpes com criptomoedas
Há quase um mês, o Telegram lançou uma ofensiva contra a indústria de golpes com criptomoedas em língua chinesa. A plataforma suspendeu praticamente todas as contas vinculadas aos dois maiores marketplaces do setor — Haowang Guarantee e Xinbi Guarantee —, onde criminosos comercializavam lavagem de dinheiro, dados roubados e outros serviços ilícitos. Esses mercados eram vitais para organizações que operam golpes de investimento em larga escala no Sudeste Asiático.
A iniciativa, porém, mostrou-se efêmera. De acordo com a Elliptic, empresa especializada em rastreamento de criptomoedas, mercados menores rapidamente ocuparam o vácuo deixado pelos gigantes derrubados — e o Telegram não demonstrou interesse em reprimi-los.
Destaques como o Tudou Guarantee — parcialmente controlado pelo Huione Group, mesmo conglomerado por trás do extinto Haowang Guarantee — mais que duplicou seu volume de negócios. A Elliptic compartilhou com a WIRED anúncios do Tudou (agora o maior mercado negro do setor) oferecendo lavagem de capitais, desenvolvimento de websites fraudulentos e bancos de dados roubados para phishing.
Para Jacob Sims, pesquisador do Centro Asiático da Universidade de Harvard, a relutância do Telegram em agir pode refletir não seus princípios de "liberdade financeira", mas um esforço para evitar conflitos com o governo dos EUA. Em maio, o Tesouro americano classificou o Huione Group como "principal preocupação em lavagem de dinheiro" — menção direta ao Haowang, mas não ao Tudou. Sims sugere que apenas uma nova pressão do governo poderá forçar outra repressão.
FileFix: a perigosa evolução dos ataques de phishing
Nos últimos meses, um tipo de ataque baseado em engenharia social tem ganhado popularidade: o ClickFix. Essa técnica manipula vítimas para que executem comandos maliciosos em seu próprio sistema operacional. Em um exemplo comum, um banner disfarçado de CAPTCHA instrui o usuário a pressionar "Windows + R", colar um comando com "CTRL + V" e, em seguida, pressionar Enter. Essa ação inicia a execução de um script em PowerShell, que pode baixar malwares e instalar programas indesejados, como o infame infostealer Lumma.
Recentemente, uma nova variante ainda mais agressiva desse tipo de ataque veio à tona: o FileFix. Descoberto pelo pesquisador de cibersegurança mr.dox, o FileFix também se apoia na engenharia social, mas explora uma funcionalidade que traz mais familiaridade às vítimas: a barra de endereços do Explorador de Arquivos do Windows. Como essa barra aceita comandos do sistema operacional, o ataque induz a vítima a colar um comando disfarçado de caminho de diretório e apertar enter, executando um script malicioso.
Em um cenário real, uma página de phishing poderia simular uma comunicação corporativa legítima, como uma notificação sobre uma nova política interna da empresa. A vítima seria instruída a abrir o Explorador de Arquivos do Windows, colar um suposto caminho de diretório na barra de endereços e pressionar Enter para visualizar o conteúdo. No entanto, o que parece ser um simples caminho é, na verdade, um comando PowerShell disfarçado, concatenado de forma a exibir somente o caminho de diretório. Ao executá-lo, o script malicioso é iniciado, comprometendo o sistema da vítima sem levantar suspeitas imediatas.
Inúmeras campanhas utilizaram, com sucesso, o ataque de ClickFix – especialmente atacantes da Coreia do Norte. O FileFix, apesar de ser uma variação nova, mostra que ataques de phishing podem evoluir e serem melhorados para uma execução de comandos em um ambiente muito mais familiar para diversos usuários: o explorador de arquivos do Windows.
É somente uma questão de tempo para que atores de ameaças passem a usar o FileFix em seus ataques, por isso é fundamental saber sobre ele. Uma prova de conceito está disponível no site do pesquisador e pode ser conferida aqui.
Patches & Updates
WhatsApp:
O uso do aplicativo de comunicação instantânea WhatsApp foi oficialmente proibido para dispositivos de congressistas nos Estados Unidos da América, sob preocupações quanto à segurança. A decisão, de acordo com o Diretor Administrativo da Câmara (CAO), “considerou o WhatsApp de alto risco para os usuários devido à falta de transparência em como protege os dados dos usuários, à ausência de criptografia dos dados armazenados e aos potenciais riscos de segurança envolvidos em seu uso”. Com isso, membros e funcionários do Congresso Americano estão proibidos de baixarem o aplicativo em qualquer dispositivo oficial do governo, seja móvel, desktop ou versões para navegadores. Como alternativas mais seguras, o CAO recomendou o uso do Microsoft Teams, Wickr (Amazon), Signal, iMessage e Facetime.
Canadá:
O Centro Canadense de Segurança Cibernética e o FBI confirmaram que o grupo Salt Typhoon, patrocinado pelo Estado chinês, invadiu uma operadora de telecomunicações no Canadá, em fevereiro, explorando a vulnerabilidade crítica CVE-2023-20198 no Cisco IOS XE. Essa falha permite que invasores remotos e não autenticados criem contas arbitrárias e obtenham privilégios de administrador. Provedores de serviços de telecomunicações que lidam com dados sensíveis — como metadados de chamadas, dados de localização de assinantes, conteúdo de SMS e comunicações governamentais ou políticas — são alvos prioritários de grupos de espionagem patrocinados por Estados. Os ataques atribuídos ao Salt Typhoon afetaram diversas empresas de telecomunicações em dezenas de países, incluindo AT&T, Verizon, Lumen, Charter Communications, Consolidated Communications e Windstream.
LLM:
Um novo tipo de jailbreak, denominado Echo Chamber, foi descoberto pela NeuralTrust, empresa fundada em Barcelona, Espanha, em 2024, com foco na proteção de implementações de modelos de linguagem (LLMs) contra abusos e violações de segurança. O Echo Chamber se assemelha ao jailbreak Crescendo, desenvolvido pela Microsoft, mas opera de forma distinta. Enquanto o Crescendo conduz o modelo com perguntas diretas para induzi-lo a gerar respostas proibidas, o Echo Chamber atua de maneira mais sutil: em vez de direcionar explicitamente a IA, ele insere “sementes” de entrada aparentemente inofensivas, que guiam progressivamente o modelo a produzir o conteúdo desejado — mesmo que esse conteúdo viole políticas de segurança. A NeuralTrust realizou testes extensivos com esse novo jailbreak em diversos modelos de linguagem, incluindo GPT-4.1-nano, GPT-4o-mini, GPT-4o, Gemini-2.0-flash-lite e Gemini-2.5-flash, com 200 tentativas por modelo. “Consideramos um jailbreak bem-sucedido quando o modelo gera conteúdo prejudicial, restrito ou contrário às políticas sem apresentar recusas ou alertas de segurança”, afirmou a empresa. Os resultados foram alarmantes: (i) Conteúdos sexistas, violentos, com discurso de ódio ou pornográficos: taxa de sucesso superior a 90%; (ii) Conteúdos de desinformação ou relacionados a automutilação: cerca de 80%; (iii) Geração de palavrões e incentivo a atividades ilegais: sucesso superior a 40%.
Destaques pelo mundo
Irã vs EUA:
O Departamento de Segurança Nacional americano emitiu um alerta para empresários resguardarem suas redes de computadores contra ataques patrocinados pelo Estado do Irã, além de potenciais intrusões de baixo-nível por hacktivistas. Essa não seria a primeira vez que o Irã lançaria ataques cibernéticos contra seus alvos; em 2023, o grupo CyberAv3ngers, ligados à Guarda da Revolução Islâmica, conseguiu invadir diversas estações de saneamento básico nos Estados Unidos. Segundo John Hultquist, analista chefe do Grupo de Inteligência de Ameaças da Google, "O Irã já realiza ciberespionagem contra os Estados Unidos para obter informações geopolíticas e monitorar pessoas de interesse, além de recorrer a ciberataques disruptivos com resultados variados, frequentemente fabricando ou exagerando seus efeitos para amplificar seu impacto psicológico."
Ucrânia:
Atacantes cibernéticos da Ameaça Persistente Avançada APT28, patrocinada pelo governo ruso, está usando o aplicativo de comunicação instantânea Signal para alvejar pessoas no governo ucraniano com duas famílias de malware ainda não documentadas: BeardShell e SlimAgent. Não trata-se de uma vulnerabilidade no Signal, que somente está sendo usado como um vetor de phishing, uma vez que seu uso é amplamente utilizado por agentes governamentais em todo o mundo. O ataque se dá através da distribuição de um arquivo nomeado “Акт.doc”, que utiliza macros para carregar um backdoor (Covenant) que se estabelece na memória do sistema. O Covenant atua como um loader de malware, baixando uma DLL maliciosa e um arquivo WAV que carrega o BeardShell, um malware em C++ que baixa e executa scripts em PowerShell, comunicando-se com um servidor de comando e controle através da API Icedrive
Cloudflare:
Um ataque distribuído de negação de serviços (DDoS) de proporções massivas – com pico de 7.3 Tbps de dados enviados – foi bloqueado pela Cloudflare. De acordo com a companhia, este ataque aconteceu em maio de 2025 e o alvo era um provedor de hospedagem não divulgado. Até hoje, este é o maior ataque DDoS já registrado, 12% maior que o segundo colocado. Para se ter ideia do ataque, o volume de dados chegou a 37.4 terabytes em apenas 45 segundos, o equivalente a 7500 horas de streaming em HD, ou mais de 12 milhões de fotos em jpeg. Este ataque originou-se de 122.145 endereços de IP distintos, espalhados em 161 países, com a maioria presente no Brasil, Vietnã, Taiwan, China, Indonésia e Ucrânia. Estes pacotes eram entregues a diferentes portas de destino no sistema da vítima, numa média total de 21.925 portas diferentes por segundo. Ainda assim, a Cloudflare foi capaz de barrar este ataque através do seu serviço de proteção à nível de rede chamado “Magic Transit”.
Quer saber mais? Siga-nos nas redes sociais: Linkedin, Instagram.
Segurança nunca é demais, ainda mais nos dias de hoje.
Compartilhe o conhecimento, espalhe a segurança!
Siga nossa Newsletter e se mantenha atualizado sobre as últimas tendências em Cybersec!
Escrito por: Thaís Hudari Abib e Murilo Lopes
Arte: George Lopes e Anselmo Costa
