Publicado em por

Phishing no Metro de Lisboa

Anúncio Falso Prometia Empréstimos Atraentes

Recentemente, passageiros do Metropolitano de Lisboa foram surpreendidos por um anúncio que prometia empréstimos bancários entre 5.000 e 900.000 euros para particulares e empresas. O cartaz, com aparência profissional e posicionado em locais de grande visibilidade, incluía um código QR que, ao ser lido, direcionava os utilizadores para um esquema de phishing.

Segundo informações divulgadas pelo SAPO TEK, o Metropolitano de Lisboa confirmou que os outdoors eram falsos e que a responsabilidade pela sua colocação recai sobre a empresa concessionária Publimetro, responsável pela exploração dos espaços publicitários nas estações.

As pessoas que interagissem com o anúncio começavam a receber e-mails solicitando o envio de dados pessoais.

O conteúdo das mensagens apresentava sinais de alerta, como formatação incomum, números de contacto com indicativo brasileiro e frases típicas de mensagens geradas por bots, como “Acrescente uma assinatura do email”.

Este incidente destaca a sofisticação crescente das campanhas de phishing, que utilizaram meios físicos, como publicidade em espaços públicos, para enganar as vítimas.

A utilização de plataformas consideradas confiáveis, como o metro, confere uma aparência de legitimidade às fraudes, tornando-as ainda mais perigosas.

Como se Proteger:

  • Desconfie de Ofertas Atraentes: Propostas de empréstimos com condições muito vantajosas podem ser armadilhas.
  • Verifique a Legitimidade: Antes de fornecer qualquer informação, confirme a autenticidade da oferta através dos canais oficiais da instituição financeira.
  • Cuidado com Códigos QR: Evite ler códigos QR de fontes desconhecidas ou suspeitas.
  • Atenção aos Detalhes: Erros de ortografia, formatação estranha e contactos internacionais em comunicações supostamente locais são sinais de alerta.
  • Não Partilhe Informações Pessoais: Instituições legítimas não solicitam dados sensíveis por e-mail ou mensagens não solicitadas.

Este caso serve como um lembrete da importância de manter a vigilância e adotar práticas seguras ao lidar com ofertas financeiras, especialmente quando apresentadas de forma inesperada ou em locais públicos.

Para mais informações sobre como se proteger de fraudes financeiras digitais, consulte a campanha #ficaadica do Banco de Portugal: Bank of PortugalBank

Fonte: https://tek.sapo.pt/noticias/internet/artigos/anuncio-falso-prometia-emprestimo-bancario-aliciante-publicado-no-metropolitano-revelou-se-phishing?utm_source=chatgpt.com

Publicado em por

[Alerta] : Campanha de Phishing a Utilizadores da Steam

Uma recente campanha de phishing foi identificada, visando utilizadores da plataforma de jogos Steam. Esta ameaça foi detalhada na plataforma Open Threat Exchange (OTX) da LevelBlue (anteriormente AlienVault), onde especialistas em segurança partilham informações sobre ameaças emergentes.

Objetivo da Campanha

Os cibercriminosos criaram páginas falsas que imitam o site oficial da Steam, com o intuito de enganar os utilizadores e obter as suas credenciais de acesso. Estas páginas fraudulentas são projetadas para parecerem autênticas, tornando difícil para os utilizadores comuns distinguirem entre o site legítimo e o falso.

Como Proteger-se

Para evitar cair em esquemas de phishing, recomendamos as seguintes práticas:

  • Verifique o URL: Antes de inserir informações sensíveis, assegure-se de que o endereço do site é o oficial da Steam
  • Cuidado com links suspeitos: Evite clicar em links recebidos por e-mail ou mensagens que solicitem informações pessoais ou de login.
  • Ative a autenticação de dois fatores (2FA): Adicione uma camada extra de segurança à sua conta Steam ativando o 2FA.
  • Utilize soluções de segurança confiáveis: Ferramentas de segurança podem ajudar a identificar e bloquear sites de phishing.

Como Podemos Ajudar

Na nossa loja de IT, oferecemos soluções para proteger os seus dados e dispositivos contra ameaças cibernéticas:

  • Consultoria em Segurança da Informação: Ajudamos a implementar políticas e práticas de segurança eficazes.
  • Soluções Anti-Phishing: Fornecemos ferramentas para detetar e prevenir ataques de phishing.
  • Formação de Utilizadores: Oferecemos workshops e materiais educativos para sensibilizar os utilizadores sobre ameaças cibernéticas.

Fonte: https://otx.alienvault.com/pulse/63fcbb1398645e14b5ce6cf3

Lista de url’s maliciosos

s[.]team-added-friend[.]com
shopstempowered[.]wallpapersenginelive[.]com
s[.]team-friend-added[.]com
s[.]team-sth[.]com
steamcommvvunity[.]ru
steamcomunity[.]cc
s[.]team[.]tj
s[.]team-q[.]cc
s[.]team[.]yt
s[.]team-am[.]com
s[.]team-ns[.]com
s[.]team-qpn[.]com
s[.]team-ba[.]com
s[.]team-gb[.]com
steemcommunty[.]com
help[.]steampowrewed[.]com
s[.]team-ud[.]com
steamcommynitu[.]com
s[.]team-zt[.]com
subnautica2-earlybetas[.]com
store[.]workshopmodvote[.]com
s[.]team-jg[.]com
teamcommunity-join[.]com

Publicado em por

Atualização de Emergência da Microsoft Corrige Problemas Críticos no Hyper-V do Windows Server 2022

Em 27 de maio de 2025, a Microsoft lançou uma atualização de emergência (KB5061906) para o Windows Server 2022, visando resolver um problema crítico que provocava congelamentos e reinicializações inesperadas em máquinas virtuais (VMs) Hyper-V, especialmente em ambientes que utilizam VMs confidenciais no Azure.

Detalhes da Atualização

A atualização KB5061906 é uma atualização cumulativa fora de banda (OOB) que substitui todas as atualizações anteriores.

Ela aborda um problema no caminho de envio direto para um endereço físico de convidado (GPA), onde VMs confidenciais executando o Windows Server 2022 no Hyper-V poderiam parar de responder ou reiniciar inesperadamente, afetando a disponibilidade do serviço e exigindo intervenção manual.

A Microsoft esclareceu que esse problema afeta principalmente VMs confidenciais no Azure e não deve impactar implantações padrão do Hyper-V, exceto em casos raros envolvendo configurações de pré-produção ou pré-visualização.

Como Aplicar a Atualização

A atualização KB5061906 não será instalada automaticamente nos servidores afetados e não está disponível através do Windows Update.

Para aplicá-la, é necessário realizar a instalação manual utilizando o pacote MSU autônomo disponível no Catálogo de Atualizações da Microsoft.

Se você ainda não implantou a atualização de segurança de maio de 2025 (KB5058385) e seu ambiente de TI inclui dispositivos Windows Server 2022 executando o Hyper-V, a Microsoft recomenda aplicar esta atualização OOB em seu lugar.

Importância de Manter os Sistemas Atualizados

É importante manter os sistemas atualizados com os patches mais recentes.

Falhas críticas podem surgir inesperadamente, e atualizações de emergência como esta são essenciais para garantir a estabilidade e segurança dos ambientes virtuais.

Como Podemos Ajudar

Na nossa empresa de IT, oferecemos serviços especializados para garantir que seus sistemas estejam sempre atualizados e protegidos:

  • Monitorização Pro-ativo: Acompanhamos continuamente os lançamentos de patches e atualizações críticas.
  • Gestão de Patches: Aplicamos atualizações de forma segura e eficiente, minimizando o tempo de inatividade.
  • Auditorias de Segurança: Avaliamos regularmente a segurança do seu ambiente para identificar e corrigir vulnerabilidades.

Entre em contacto para garantir que seu ambiente Hyper-V esteja protegido contra falhas críticas.

Publicado em por

Microsoft e Parceiros Internacionais Desmantelam Operação de Malware Lumma Stealer

Em maio de 2025, a Microsoft liderou uma operação global de cibersegurança que desmantelou a infraestrutura por trás do Lumma Stealer — um dos malwares de roubo de dados mais populares entre cibercriminosos nos últimos anos.

Esta ação coordenada teve como objetivo proteger milhões de utilizadores em todo o mundo contra o roubo de informações pessoais e empresariais, incluindo credenciais de acesso, dados bancários e carteiras de criptomoedas.

O que é o Lumma Stealer?

O Lumma Stealer, também conhecido como LummaC2, é um malware do tipo infostealer, projetado para infiltrar-se em sistemas Windows e extrair dados confidenciais. Operava sob um modelo de “malware como serviço” (MaaS), sendo amplamente comercializado em fóruns clandestinos por cibercriminosos, devido à sua facilidade de uso e eficácia em contornar medidas de segurança.

O Impacto do Malware

Entre março e maio de 2025, mais de 394.000 dispositivos Windows foram infetados com o Lumma Stealer. Os dados roubados eram utilizados em ataques subsequentes, como fraudes financeiras, acessos indevidos a sistemas empresariais, ou revendidos no mercado negro digital.

A Operação de Interrupção

Liderada pela Microsoft Digital Crimes Unit (DCU), a ação contou com apoio de:

  • Departamento de Justiça dos EUA (DoJ)
  • Europol
  • Japan Cybercrime Control Center (JC3)
  • Empresas tecnológicas como Cloudflare, ESET e Lumen

Os resultados foram impressionantes:

  • Apreensão de mais de 2.300 domínios maliciosos usados para controlar sistemas infetados.
  • Redirecionamento de 1.300 desses domínios para “sinkholes” — servidores controlados pela Microsoft que monitorizam e interrompem as comunicações do malware.
  • Encerramento de servidores de comando e controlo (C2) e mercados onde o malware era vendido e distribuído.

Por que isto é importante para os nossos clientes?

O Lumma Stealer foi especialmente eficaz contra pequenas e médias empresas que, muitas vezes, não contam com equipas especializadas em cibersegurança. Esta operação:

  • Reduz o risco de infeção ativa, mas não elimina a ameaça de futuras variantes.
  • Destaca a importância de manter sistemas atualizados e protegidos com soluções antivírus e firewalls eficazes.
  • Reforça a necessidade de educação contínua em cibersegurança e monitorização de rede constante — serviços que a nossa loja fornece.

Como proteger-se?

Na nossa loja de IT, ajudamos a proteger a sua empresa através de:

  • Monitorização de redes e endpoints com Wazuh e OPNsense
  • Implementação de firewalls com DNS Sinkhole e Proxy filtrado
  • Consultoria em segurança ofensiva e defensiva
  • Formação em boas práticas de cibersegurança

Saiba mais

Se quiser aprofundar os detalhes técnicos ou legais da operação, recomendamos as seguintes fontes oficiais da Microsoft:

Publicado em por

Raspberry Robin: Investigação Revela 200 Domínios C2 e Indicadores de Compromisso (IoCs)

Recentemente, uma investigação revelou quase 200 domínios de “Command / control” (C2) associados ao malware Raspberry Robin, também conhecido como Roshtyak ou Storm-0856.

Este malware atua como um “Initial Access Broker” (IAB), facilitando a infiltração de diversos grupos criminosos, muitos com ligações a entidades russas.

Sua capacidade de adaptação e evolução contínua o torna uma ameaça persistente e sofisticada. (APT)

Neste artigo, vamos explorar como o Raspberry Robin opera, seus métodos de propagação e infraestrutura C2, além de apresentar indicadores de compromisso (IoCs) atualizados para ajudar na deteção e mitigação desse malware.

Evolução e Métodos de Propagação

Desde sua descoberta em 2019, o Raspberry Robin tem demonstrado uma capacidade notável de adaptação:
• Dispositivos USB e Atalhos Maliciosos:
Inicialmente, o malware se espalhava por meio de drives USB infetados, utilizando arquivos de atalho (LNK files) disfarçados como pastas legítimas. Ao serem executados, esses atalhos ativavam o malware.


• Abuso de Dispositivos QNAP:
Raspberry Robin explorou dispositivos QNAP comprometidos como intermediários para baixar cargas maliciosas adicionais, sendo conhecido como o “QNAP worm”.


• Arquivos de Script do Windows (WSF):
O malware passou a utilizar arquivos de script do Windows para se propagar, muitas vezes distribuídos via plataformas como o Discord.


• Exploits de Dia Zero:
O Raspberry Robin também foi observado explorando vulnerabilidades como a CVE-2023-36802 para escalonamento de privilégios locais antes mesmo da divulgação pública.

Infraestrutura de Comando e Controle (C2)

A análise recente revelou detalhes importantes sobre a infraestrutura C2 do Raspberry Robin:
• Domínios de Curta Duração e Fast Flux:
Utilizando a técnica de fast flux, o malware altera rapidamente seus domínios C2, dificultando sua identificação e bloqueio.


• Registros em TLDs Específicos:
Muitos dos domínios associados possuem TLDs como .wf, .pm, .re, .nz, .eu, .gy, .tw e .cx, registrados por registradores como Sarek Oy, 1API GmbH e NETIM.


• Uso da Rede Tor:
Algumas variantes do Raspberry Robin utilizam a rede Tor para ofuscar suas comunicações C2, dificultando ainda mais o rastreamento.

Indicadores de Compromisso (IoCs)

Para auxiliar na identificação e mitigação de ameaças relacionadas ao Raspberry Robin, aqui estão os principais IoCs associados:

Domínios de Comando e Controle (C2)
• q2[.]rs
• m0[.]wf
• h0[.]wf
• 2i[.]pm

Endereço IP Associado
• 3.64.163.50

Hashes de Arquivos Maliciosos
• SHA-1: ae80fc23e8ca53dcf79e98679a57aae1c896030573a25a3df804fee390d0624e
• SHA-1: 8f68bc9bfcacc9aac93049d82ef4d05d1b0240176addfb01388129a039fe473b
• SHA-1: 36e424573e49cd9bc5e878dfff4656e84ffa9b369536f755260f2175f3b5fbb5

Conclusão e Recomendações

O Raspberry Robin continua a evoluir como uma ameaça crítica, especialmente por sua capacidade de atuar como vetor inicial para outros malwares como SocGholish, Dridex, LockBit e IcedID.

A identificação e o bloqueio dos IoCs listados são fundamentais para mitigar os riscos associados a essa ameaça.

Recomenda-se:
• Implementar soluções de EDR (Endpoint Detection and Response) para detetar atividades anómalas.
• Monitorizar comunicações com os domínios e IPs indicados.
• Atualizar assinaturas de antivírus e firewalls regularmente.
• Implementar políticas de bloqueio para dispositivos USB suspeitos.

Para uma análise mais aprofundada, consulte fontes de inteligência de ameaças como o AlienVault OTX.

A colaboração contínua entre profissionais de segurança é essencial para combater ameaças como o Raspberry Robin.

Para fortalecer a segurança e detetar atividades relacionadas ao Raspberry Robin, você pode configurar regras específicas no Wazuh.

Abaixo estão exemplos de regras para identificar conexões suspeitas, execução de arquivos maliciosos e exploração de vulnerabilidades.

Deteção de Conexões com Domínios C2 Conhecidos

Crie uma regra no Wazuh para monitorar logs de firewall ou DNS em busca de conexões com os domínios de comando e controle:

<group name="raspberry_robin_c2, malware, network">
  <rule id="100001" level="10">
    <decoded_as>json</decoded_as>
    <field name="destination.domain" type="pcre2">
      (\.wf|\.pm|\.rs|\.re|\.nz|\.eu|\.gy|\.tw|\.cx)$
    </field>
    <description>Conexão com domínio potencialmente associado ao Raspberry Robin</description>
    <mitre>
      <id>T1071</id> <!-- Application Layer Protocol -->
      <id>T1090</id> <!-- Proxy -->
    </mitre>
  </rule>
</group>

• Ação: Bloquear ou Monitorizar logs para identificar conexões suspeitas.
• Fontes: Logs de firewall, IDS/IPS ou resoluções DNS.

Deteção de Hashes Maliciosos

Para identificar a execução de arquivos maliciosos associados ao Raspberry Robin, configure a verificação de integridade para Monitorizar hashes:

<group name="raspberry_robin_hashes, malware, file_monitor">
  <rule id="100002" level="12">
    <decoded_as>json</decoded_as>
    <field name="file.hash.sha1">
      (ae80fc23e8ca53dcf79e98679a57aae1c896030573a25a3df804fee390d0624e| 
       8f68bc9bfcacc9aac93049d82ef4d05d1b0240176addfb01388129a039fe473b| 
       36e424573e49cd9bc5e878dfff4656e84ffa9b369536f755260f2175f3b5fbb5)
    </field>
    <description>Deteção de hash malicioso relacionado ao Raspberry Robin</description>
    <mitre>
      <id>T1059</id> <!-- Command and Scripting Interpreter -->
    </mitre>
  </rule>
</group>

• Ação: Geração de alerta de alta prioridade.
• Fontes: Logs de antivírus, EDR ou soluções de Monitorização de arquivos.

Deteção de Exploração de Vulnerabilidades (CVE-2023-36802)

Caso seu ambiente esteja vulnerável à exploração da CVE-2023-36802, você pode criar uma regra para detetar atividades suspeitas:

<group name="raspberry_robin_hashes, malware, file_monitor">
  <rule id="100002" level="12">
    <decoded_as>json</decoded_as>
    <field name="file.hash.sha1">
      (ae80fc23e8ca53dcf79e98679a57aae1c896030573a25a3df804fee390d0624e| 
       8f68bc9bfcacc9aac93049d82ef4d05d1b0240176addfb01388129a039fe473b| 
       36e424573e49cd9bc5e878dfff4656e84ffa9b369536f755260f2175f3b5fbb5)
    </field>
    <description>Deteção de hash malicioso relacionado ao Raspberry Robin</description>
    <mitre>
      <id>T1059</id> <!-- Command and Scripting Interpreter -->
    </mitre>
  </rule>
</group>

• Ação: Alertar e iniciar investigações de possível exploração. • Fontes: Logs de eventos do Windows ou logs de segurança de endpoint.

Deteção de Acesso a IPs Suspeitos

Se houver deteção de conexões com IPs associados ao Raspberry Robin, a seguinte regra pode ser usada:

<group name="raspberry_robin_ip, network, malware">
  <rule id="100004" level="10">
    <decoded_as>json</decoded_as>
    <field name="destination.ip">3.64.163.50</field>
    <description>Conexão com IP associado ao Raspberry Robin</description>
    <mitre>
      <id>T1071</id> <!-- Application Layer Protocol -->
    </mitre>
  </rule>
</group>

• Ação: Bloquear a conexão e investigar a origem. • Fontes: Logs de firewall, IDS ou SIEM.

Conclusão

A implementação destas regras no Wazuh ajuda a identificar atividades suspeitas relacionadas ao Raspberry Robin. Para uma defesa mais robusta:
• Monitorize continuamente: Utilize dashboards no Wazuh para acompanhar alertas em tempo real.
• Automatize respostas: Integre com ferramentas SOAR (Security Orchestration, Automation, and Response) para respostas rápidas.
• Atualize IoCs: Reveja regularmente os indicadores de compromisso em fontes confiáveis como o AlienVault OTX.

Essas medidas irão reforçar a postura de segurança da sua organização contra ameaças emergentes.

Mantenha-se vigilante e seguro!