Um relatório recente da assinatura de inteligência CTM360 revela uma campanha ativa que está aproveitando o ecossistema do Google para propagar malware e tomar controle de contas corporativas. De acordo com a análise publicada pelo CTM360, os atacantes criaram milhares de grupos no Google Groups e centenas de links hospedados nos serviços do Google para ganhar confiança e distribuir ferramentas concebidas para roubar credenciais e manter acesso persistente em equipamentos afetados. Você pode consultar o relatório completo no site do CTM360: https://www.ctm360.com/reports/ninja-browser-lumma-infostealer.
A engenharia social é o ponto de partida: os operadores se infiltram em fóruns e grupos temáticos onde se discutem questões técnicas legítimas e publicam entradas que parecem soluções ou downloads úteis, incluindo nomes de empresas e palavras-chave do setor para dar aparência de autenticidade. Dentro desses fios colocam links disfarçados — por exemplo, convites para "descarregar" ferramentas supostamente específicas para uma organização — e usam encurtar ou redireções alojadas em Docs e Drive para evitar filtros e esconder a cadeia final de entrega.
Em equipamentos com o Windows a descarga conduzia a um arquivo comprimido protegido por senha. Ao descomprimir-se, o volume real do arquivo engana os motores de detecção: o recipiente pode ser expandido até quase um gigabyte, mas o componente malicioso ocupa apenas uma fração (segundo CTM360, cerca de 33 MB), enquanto o resto é preenchido com bytes nulos para dificultar a digitalização estática. Ao executar, o instalador reconstrue binários fragmentados e lança um componente compilado com AutoIt que desencripta uma carga em memória. O comportamento observado coincide com o de um infostealer comercial conhecido como Lumma, que aponta credenciais de navegadores e cookies de sessão, executa comandos em shell e exfiltra dados mediante pedidos de HTTP POST para servidores de comando e controle identificados pelos pesquisadores. CTM360 fornece indicadores como domínios e hashes associados que permitem a detecção e bloqueio dessa infraestrutura.
Para usuários do Linux a armadilha tem outra face: em vez de um ZIP pesadamente preenchido, as vítimas são dirigidas a instalar um navegador Chromium modificado sob a marca “Ninja Browser”. A primeira vista promete privacidade e anonimato, mas em segundo plano integra extensões maliciosas que se instalam sem o consentimento do usuário e mecanismos ocultos para manter a presença do atacante no sistema. Uma dessas extensões, analisada pelo CTM360, atua como um agente de rastreamento e manipulação: atribui identificadores únicos a usuários, injeta scripts em sessões web, gerencia páginas e cookies e download conteúdo remoto usando JavaScript fortemente ofuscado.
Os pesquisadores também encontraram tarefas programadas que consultam servidores controlados pelos atacantes diariamente, procedimentos de atualização silenciosa e redireções a motores de busca suspeitos, o que sugere uma arquitetura pensada para evoluções futuras do ataque. Entre os domínios ligados ao projeto incluem variantes relacionadas a "ninja-browser", e CTM360 lista também endereços IP e um domínio de C2 (por exemplo, healgeni[.]live) que permitem aos equipamentos de segurança bloquear e rastrear atividade maliciosa.
Este tipo de campanhas encaixa numa tendência que já documentaram múltiplos atores do setor segurança: o abuso de plataformas legítimas e serviços na nuvem para distribuir código malicioso reduz a fricção e explora a presunção de confiança de usuários e filtros. Desde phishing com documentos hospedados no Google Drive até cargas úteis que descansam em serviços de arquivo legítimos, o uso de infra-estruturas “de confiança” complica a detecção tradicional; é um padrão que tem sido observado em incidentes prévios e que analistas de segurança têm alertado nos últimos anos, como refletem relatos de imprensa especializada e análises técnicas sobre abuso de serviços na nuvem (ver, por exemplo, o seguimento geral sobre este tipo de ataques publicado por este tipo de ataques publicados por este tipo de ataques. KrebsOnSecurity).
Do ponto de vista técnico, as técnicas utilizadas pelos operadores —padding de binários para evitar análise, reconstrução em tempo de execução com AutoIt e cargas em memória — não são novidades por si mesmas, mas sua combinação com a visibilidade que proporciona alojar elementos em domínios e serviços reputados lhes dá eficácia. Empresas de segurança como o ESET têm documentado como se abusa de AutoIt e outras linguagens scripting para empacotar e executar cargas maliciosas, e por isso convém que os equipamentos de resposta estejam atentos a indicadores de comportamento mais do que a sinais estáticos: WeLiveSecurity / ESET Oferece explicações úteis sobre essas técnicas.
As consequências para as organizações podem ser graves: o roubo de credenciais e tokens de sessão facilita o sequestro de contas, a fraude financeira e o movimento lateral dentro de redes corporativas, enquanto os componentes instalados furtivamente podem funcionar como portas traseiras para futuras operações. É por isso que os equipamentos de segurança devem combinar medidas técnicas e formação: revisar cadeias de redireccionamento (especialmente as que passam por Docs/Drive), bloquear indicadores de compromisso a nível de firewall e EDR, auditar extensões de navegador e monitorar a criação de tarefas programadas ou processos incomuns nos endpoints. CTM360 sugere um conjunto similar de ações e publica IoC que facilitam sua incorporação em regras de detecção; o relatório está disponível em: CTM360 — Ninja Browser & Lumma Infostealer.
Para contextualizar essas recomendações em boas práticas mais gerais, os responsáveis pela identidade e pelo acesso devem rever guias de proteção de credenciais e detecção de abuso de contas públicas, como as que a Microsoft oferece em seus documentos técnicos sobre proteção de identidade, e aplicar controles de acesso baseados em risco e autenticação multifator onde possível. Os guias da Microsoft sobre defesa contra roubo de credenciais e gestão de identidades são um bom ponto de partida: Microsoft — Identity Protection. Além disso, os usuários devem receber formação prática para reconhecer sinais de fraude em fóruns públicos e evitar instalar software a partir de fontes não verificadas; materiais de consciência e exercícios de phishing ajudam a reduzir a probabilidade de que esse tipo de senhões tenha sucesso.
No plano operacional, incorporar a vigilância de ameaças externas que monitorizem fóruns, páginas e serviços de hospedagem usados por terceiros é cada vez mais necessário. Ferramentas que detectam mudanças em domínios relacionados à marca, o aparecimento de downloads suspeitos ou a utilização de serviços legítimos para redireccionar tráfego malicioso trazem visibilidade precoce. CTM360, juntamente com outros provedores de inteligência, mantém listados atualizados de domínios, IPs e hashes associados ao ataque; seu relatório inclui dados que podem ser integrados em soluções de bloqueio e em processos de resposta a incidentes.
A campanha descrita por CTM360, que combina um infostealer comercial com um navegador trojanizado e um uso estratégico de serviços de confiança, é um lembrete de que a segurança moderna exige atender tanto à técnica quanto ao fator humano. Manter os canais de comunicação com fornecedores de segurança, distribuir indicadores de compromisso rápido e reforçar a higiene digital dos usuários são ações que reduzem o impacto de ataques deste tipo. Para quem quiser aprofundar os achados e aproveitar os IoC fornecidos pelos pesquisadores, o relatório original está disponível na web do CTM360: https://www.ctm360.com/reports/ninja-browser-lumma-infostealer.
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
RAMPART e Clarity redefinem a segurança dos agentes da IA com testes reprodutíveis e governança desde o início
A Microsoft apresentou duas ferramentas de código aberto, RAMPART e Clarity, que visam alterar a forma como a segurança dos agentes da IA é testada: uma máquina de computador e ...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...