«Gratuito» TradingView Premium com estilizador, ataque DDoS recorde na Cloudflare e outros eventos de cibersegurança

# «Gratuito» TradingView Premium com estilizador, ataque DDoS recorde na Cloudflare e outros eventos de cibersegurança

Reunimos as notícias mais importantes do mundo da cibersegurança da semana.

• Hackers esconderam o stealer em um TradingView Premium falso.
• Especialistas encontraram um stealer perigoso para usuários de criptomoedas.
• Os sequestradores ameaçaram vazar as obras de arte para modelos de IA.
• Encontraram uma vulnerabilidade na gestão dos robôs chineses.

Hackers esconderam um stealer no TradingView Premium falso

Cibercriminosos espalharam anúncios falsos sobre a instalação gratuita do TradingView Premium para baixar malware nos dispositivos Android das vítimas. Isso foi relatado por pesquisadores da Bitdefender.

O software Brokewell apareceu no início de 2024. Ele possui uma ampla gama de funcionalidades, incluindo roubo de dados confidenciais, monitoramento remoto e controle do dispositivo infectado.

De acordo com os pesquisadores, os alvos da campanha eram os usuários de criptomoedas. Ela está ativa desde pelo menos 22 de julho, utilizando cerca de 75 anúncios localizados para o segmento russo.

Exemplo de publicidade de cibercriminosos. Fonte: Bitdefender. Quando a vítima clicava no link, era redirecionada para um site que se disfarçava como o TradingView original, onde um arquivo malicioso tw-update.apk era oferecido. Após a instalação, o aplicativo pedia acesso a funções de acessibilidade. Em caso de consentimento, ele abria uma suposta janela de atualização do sistema. Nesse momento, o infostealer concedia a si mesmo todas as permissões necessárias.

Além disso, os criminosos tentaram obter o PIN de bloqueio da tela do smartphone, imitando uma solicitação do sistema Android.

Pedido para inserir o PIN da tela de bloqueio do smartphone contra malware. Fonte: Bitdefender. Especialistas observaram que o esquema foi projetado exclusivamente para usuários móveis: ao acessar de outro dispositivo, era exibido conteúdo inofensivo.

De acordo com a Bitdefender, o aplicativo falso é uma "versão avançada do malware Brokewell" e possui as seguintes funcionalidades:

• escaneia BTC, ETH, USDT e dados bancários IBAN;
• rouba e exporta códigos do Google Authenticator;
• captura contas através de telas de login falsas;
• grava a tela e pressionamentos de tecla, rouba cookies, ativa a câmara e o microfone, rastreia a geolocalização;
• intercepta SMS, incluindo códigos bancários e 2FA, substituindo o aplicativo padrão de mensagens;
• pode aceitar comandos remotos através do Tor ou WebSockets para enviar SMS, fazer chamadas, remover software ou até mesmo autodestruição.

Especialistas encontraram um stealer perigoso para os usuários de criptomoedas

Pesquisadores da F6 relataram sobre um esquema malicioso chamado Phantom Papa encontrado em junho. Os criminosos enviavam e-mails em russo e inglês com anexos contendo o ladrão Phantom.

A plataforma baseada no código do software CaaS Stealerium permite que os operadores roubem senhas, informações bancárias e de criptomoedas, bem como o conteúdo de navegadores e mensageiros.

Os destinatários de e-mails maliciosos contendo stylers foram organizações de diversos setores da economia: retalho, indústria, construção, TI.

O relatório destaca a escolha dos criminosos por e-mails falsos com temas de natureza sexual, como "Veja Minhas Fotos e Vídeos Nuas". Também foram encontradas clássicas armadilhas de phishing, como "Cópia do pagamento nº 06162025 anexada".

Fragmento do e-mail de phishing dos criminosos com a oferta de baixar um arquivo. Fonte: F6.Ao descompactar e executar os arquivos RAR anexados ao e-mail com extensões .img e .iso, o malware penetrava no dispositivo. Após a execução na máquina da vítima, o Phantom coletava informações detalhadas sobre o "hardware" e configurações do sistema, além de roubar cookies, senhas, dados de cartões bancários do navegador, imagens e documentos. Todas as informações coletadas eram obtidas pelos criminosos através de bots do Telegram como o papaobilogs.

Mais uma ameaça para os proprietários de criptomoedas é o módulo Clipper. Ele extraía o conteúdo da área de transferência em um ciclo infinito com um intervalo de 2 segundos. Se houvesse uma mudança, o malware o salvava em um arquivo. Em seguida, escaneava a janela ativa em busca de palavras relacionadas a serviços de criptomoedas: "bitcoin", "monero", "crypto", "trading", "wallet", "coinbase".

No caso de detecção, iniciava-se a fase de busca na área de transferência de carteiras de criptomoedas por trechos populares de endereços. Ao encontrar, o software substituía as carteiras do usuário por endereços predefinidos dos criminosos.

Além disso, o Phantom possui um módulo PornDetector. Ele é capaz de monitorar a atividade do usuário e, caso encontre uma das palavras "porn", "sex", "hentai", cria uma captura de tela em um arquivo. Se após isso a janela ainda estiver ativa, o módulo tira uma foto com a webcam.

Os sequestradores ameaçaram vazar as obras de arte para modelos de IA

No dia 30 de agosto, supostamente, os sequestradores da LunaLock publicaram na página do serviço para artistas Artists&Clients informações sobre uma violação. A 404 Media relata isso.

Os criminosos exigiram dos proprietários do marketplace de arte um resgate de $50 000 em bitcoin ou Monero. Caso contrário, prometeram publicar todos os dados e transferir as obras de arte para empresas de IA para treinar modelos LLM.

Foi colocado um temporizador de contagem decrescente no site, dando aos proprietários alguns dias para reunir a quantia necessária. No momento da escrita, o recurso não está funcionando.

«Este é o primeiro caso em que vejo os criminosos a usar a ameaça de treinar modelos de IA como parte de sua tática de extorsão», comentou a analista sênior de ciberameaças da Flare, Tammy Harper, em declaração à 404 Media.

Ela acrescentou que tais ações podem ser eficazes contra artistas devido ao tema sensível.

Encontrada vulnerabilidade na gestão de robôs chineses

No dia 29 de agosto, um especialista em cibersegurança com o nome de BobDaHacker descobriu problemas na proteção de um dos principais fornecedores mundiais de robôs comerciais. A vulnerabilidade permitia que as máquinas obedecessem a comandos arbitrários.

Pudu Robotics — fabricante chinês de robôs para a realização de uma ampla gama de tarefas na produção e em locais públicos

BobDaHacker descobriu que o acesso administrativo ao software de gestão dos robôs não estava bloqueado. Segundo ele, para realizar o ataque, o criminoso só precisa obter um token de autorização válido ou criar uma conta de teste, que é destinada a testes antes da compra.

Após a autenticação inicial, não houve verificações de segurança adicionais. O atacante tinha a possibilidade de redirecionar a entrega de comida ou desligar toda a frota de robôs de restaurante. Isso permitia que qualquer pessoa fizesse alterações sérias: por exemplo, renomear os robôs para dificultar a recuperação.

Cloudflare suportou um ataque DDoS recorde

A Cloudflare bloqueou o maior ataque DDoS já registrado, com um pico de 11,5 Tbit/s. O provedor de serviços de rede anunciou isso em 1 de setembro.

As defesas da Cloudflare têm trabalhado em tempo extra. Nas últimas semanas, bloqueamos autonomamente centenas de ataques DDoS hiper-volumétricos, com o maior atingindo picos de 5,1 Bpps e 11,5 Tbps. O ataque de 11,5 Tbps foi um flood UDP que veio principalmente do Google Cloud.… pic.twitter.com/3rOys7cfGS

— Cloudflare (@Cloudflare) 1 de setembro de 2025

«Os sistemas de proteção Cloudflare estão a funcionar em modo reforçado. Nas últimas semanas, bloqueámos em modo offline centenas de ataques DDoS superpoderosos, o maior dos quais atingiu um pico de 5,1 mil milhões de pacotes por segundo e 11,5 Tbit/s», afirmou a empresa.

O recorde de ataque DDoS durou cerca de 35 segundos e foi uma combinação de vários dispositivos IoT e provedores de nuvem.

Também no ForkLog:

• Grokking. O chatbot Grok foi ensinado a publicar links fraudulentos.
• Um computador quântico quebrou uma chave criptográfica "pequena".
• Nos EUA, foi proposta um plano de proteção de ativos contra ameaças quânticas.
• Hackers esconderam links maliciosos em contratos inteligentes.
• O utilizador Venus perdeu $27 milhões devido a phishing.
• O livro de psicologia ajudou a "hackear" o ChatGPT.
• Hackers roubaram tokens WLFI usando carteiras inteligentes.
• As perdas com os ataques a projetos de criptomoedas em agosto atingiram $163 milhões.
• A Binance ajudou a congelar os ativos de golpistas no valor de $47 milhões.
• El Salvador protegeu os seus 6284 BTC de ameaças quânticas.

O que ler no fim de semana?

ForkLog, no âmbito do boletim mensal FLMonthly, conversou com o criptopunk Anton Nesterov sobre as principais ameaças à privacidade e formas de combatê-las.