Nova série: Malware Brief

Esta publicação é a primeira numa nova série para o Blog Barracuda. Cada uma das nossas publicações Malware Brief destacará algumas ameaças diferentes de malware em tendência. Vamos cobrir detalhes técnicos e os seus lugares na taxonomia dos tipos de ameaças, e analisaremos como cada uma pode potencialmente atacar e danificar a sua organização.

Um recurso útil para quem procura acompanhar quais ameaças estão a dominar a paisagem é o Any Run Malware Trends Tracker. E começaremos com o malware mais listado nessa lista neste momento, Tycoon 2FA.

Tycoon 2FA

Tipo: Kit de phishing (Phishing-como-um-serviço)

Subtipo: Adversário no Meio (AiTM)

Distribuição: Canais Telegram, a $120 por 10 dias

Alvos comuns: Gmail, contas Microsoft 365

Operadores conhecidos do Telegram: Tycoon Group, SaaadFridi e Mr_XaaD

Tycoon 2FA é uma plataforma Phishing-as-a-Service (PHaaS) avistada pela primeira vez em agosto de 2023. Tem sido mantida e atualizada regularmente, pelo menos até o início de 2025.

Como o nome desta versão indica, as suas atualizações mais recentes permitem que evite estratégias de autenticação de dois fatores. Uma análise técnica detalhada do Tycoon 2FA está nesta publicação de destaque de ameaças.

Uma característica chave do Tycoon 2FA é a sua extrema facilidade de uso. Indivíduos sem muita habilidade técnica podem usá-lo facilmente para criar e executar ataques de phishing direcionados. Usando URLs e códigos QR, os alvos são direcionados para páginas web falsas onde as credenciais são recolhidas.

Tycoon 2FA pode então ser usado para entregar malware, conduzir reconhecimento prolongado e mais. Ele evita MFA atuando como um intermediário, capturando e reutilizando cookies de sessão. Estes podem continuar a ser reutilizados mesmo após as credenciais terem sido atualizadas, dando ao utilizador acesso prolongado a redes alvo.

Conforme mencionado acima, o operador por trás do Tycoon 2FA vende licenças de 10 dias por $120 via Telegram.

Lumma

Tipo: Ladrão de Informações

Distribuição: Malware-como-um-Serviço

TAMBÉM CONHECIDO COMO: LummaC, LummaC2

Sistemas alvo: Windows 7 – 11

O Lumma infostealer surgiu pela primeira vez em agosto de 2022. Está facilmente acessível e é oferecido à venda como um serviço, com vários planos disponíveis a diferentes preços.

Assim que ganha acesso a um sistema — seja através de uma campanha de phishing bem-sucedida, escondido em software falso ou por mensagem direta no Discord — o Lumma é muito eficaz. Encontra, reúne e exfiltra uma ampla gama de dados sensíveis. É tipicamente utilizado para visar carteiras de criptomoedas, credenciais de login e outros dados sensíveis.

O malware pode recolher registos de dados de endpoints comprometidos e também pode atuar como um carregador, instalando outros tipos de malware.

Notavelmente, em maio de 2025, a Microsoft e Europol anunciaram uma operação para pôr fim ao Lumma encerrando a “estrutura de comando central” do ladrão, derrubando mais de 1.300 domínios e fechando o principal mercado de venda do malware e dados roubados. (Outra operação da Europol por volta da mesma altura derrubou infraestruturas para muitos outros tipos de malware.)

No entanto, muitos milhares de sistemas continuam a ser infectados, e Lumma mantém o 4.º lugar na lista global de Any Run de malware ativo.

Quasar RAT

Tipo: Trojan de Acesso Remoto (RAT)

Sistemas-alvo: Windows, todas as versões

Autor: Desconhecido

Distribuição: Campanhas de email de spam

Quasar RAT é um tipo de malware que permite que criminosos assumam o controle de sistemas infectados. Está amplamente disponível como um projeto de código aberto, tornando-o altamente popular. O seu autor original não é conhecido. Embora inicialmente possa ter sido concebido como uma ferramenta legítima de acesso remoto, ganhou grande popularidade como uma arma de ciberameaça.

O Quasar foi revisado e atualizado repetidamente, aumentando a gama de ações potenciais que pode realizar ou permitir que os seus utilizadores realizem. Os utilizadores podem aceder a uma interface gráfica no componente do lado do servidor do malware e personalizar o malware do lado do cliente para atender às suas necessidades.

A funcionalidade inclui gestão remota de ficheiros na máquina infectada, alterações do registo, gravação das ações de uma vítima, estabelecimento de ligações de ambiente de trabalho remoto, e mais.

Uma característica notável é a sua capacidade de funcionar "silenciosamente," permitindo que passe despercebido durante longos períodos de tempo enquanto os atacantes controlam o PC infectado.

Como outros RATs, o Quasar é distribuído principalmente através de campanhas de spam por email que entregam o malware ou seu carregador disfarçado como um documento.

Atualmente, o Quasar RAT está listado no nº 9 na lista global da Any Run’s, com um recente aumento de atividade observado.