Convites de phishing para o Y Combinator com o objetivo de roubo de criptomoedas, destruição da maior fazenda de SIM nos EUA e outros eventos de cibersegurança

# Convites de Phishing para o Y Combinator com o objetivo de roubar criptomoedas, destruição da maior fazenda SIM dos EUA e outros eventos de cibersegurança

Reunimos as notícias mais importantes do mundo da cibersegurança da semana.

• Os desenvolvedores de blockchain baixaram o ladrão de criptomoedas quase 8500 vezes.
• Em convites para o acelerador de startups Y Combinator, foi encontrado um cryptodrainer.
• Novo malware para macOS visa roubar criptomoedas de desenvolvedores.
• O Serviço Secreto dos EUA desmantelou a maior fazenda de SIM perto da sede da ONU.

Desenvolvedores de blockchain quase 8500 vezes baixaram o stealer de criptomoedas

Dois pacotes maliciosos no repositório oficial da linguagem de programação Rust escanearam dispositivos de desenvolvedores com o objetivo de roubar criptomoedas e informações secretas. Desde 25 de maio de 2025, eles foram baixados 8424 vezes. Sobre isso, pesquisadores em segurança Socket relataram em 24 de setembro.

As pragas faster_log e async_println espalharam-se através do registro Crates.io, equivalente ao npm para JavaScript. Elas imitaram o legítimo fast_log, copiando seu arquivo README e os metadados do repositório. Nesse processo, o malware manteve a função de registro do projeto real, a fim de reduzir suspeitas.

Exemplos de pacotes fraudulentos e legítimos para desenvolvedores Rust. Fonte: Socket.O software dos golpistas escaneou o ambiente da vítima e os arquivos de origem do projeto em busca dos seguintes elementos:

• cadeias hexadecimais, semelhantes a chaves privadas do Ethereum;
• strings Base58, semelhantes a chaves e endereços Solana;
• arrays de bytes entre parênteses, que podem esconder frases-semente.

Após encontrar correspondências, o código exfiltrou dados para um URL codificado.

A plataforma removeu pacotes falsos e bloqueou contas de golpistas no dia da notificação.

Nos convites para o acelerador de startups Y Combinator foi descoberto um criptodrainer

Uma campanha de phishing em larga escala visou usuários do GitHub por meio de drenos de criptomoedas, infiltrando-se através de convites falsos para participar do programa de apoio a startups Y Combinator.

No dia 24 de setembro, o BleepingComputer relatou que os criminosos exploraram falhas no sistema de notificações para enviar mensagens fraudulentas. Eles criavam tarefas em vários repositórios e marcavam os usuários-alvo.

Ao mencionar o nome da conta em tarefas do GitHub, uma notificação é enviada automaticamente. Como o e-mail vem de uma fonte legítima, ele vai diretamente para a caixa de entrada.

Como isca, foi enviado um convite para se inscrever na próxima rodada de financiamento do Y Combinator com um fundo de $15 milhões. Em alguns repositórios, havia até 500 tarefas abertas de um usuário que se registrou apenas uma semana antes.

Site falso com erro intencional no nome de domínio. Fonte: BleepingComputer. Os destinatários dos e-mails foram incentivados a clicar em um link de phishing. O domínio falso da página foi escrito com um erro quase imperceptível ("l" em vez de "i"). Após clicar no link, um JavaScript era iniciado, que pedia para verificar a carteira de criptomoeda. A assinatura iniciava transações maliciosas para esvaziar as contas.

Após queixas no GitHub, IC3 e Google Safe Browsing, os repositórios fraudulentos foram removidos.

Novo malware para macOS visa roubar criptomoedas dos desenvolvedores

No dia 25 de setembro, especialistas da Microsoft Threat Intelligence descobriram uma nova variante de malware XCSSET para macOS, criada para roubar notas, criptomoedas e dados de navegadores de dispositivos infectados. Ele se espalha ao procurar e infectar outros projetos no ambiente para desenvolvedores Xcode, sendo ativado durante a compilação do produto.

«Acreditamos que esse método de infecção e disseminação é baseado na troca de arquivos de projetos entre desenvolvedores que criam aplicativos para Apple ou macOS», afirmam os especialistas no relatório.

Os pesquisadores notaram várias mudanças na nova versão do stealer:

• foco nos dados do navegador Firefox e na instalação da versão modificada HackBrowserData, que descriptografa e exporta dados dos armazenamentos;
• atualização do componente de interceptação da área de transferência do macOS, que analisa padrões de expressões regulares relacionados a endereços de criptomoedas;
• após a descoberta da carteira de criptomoeda, ela é substituída por uma fraudulenta.

O Serviço Secreto dos EUA desmantelou a maior fazenda de SIM perto da sede da ONU

No dia 23 de setembro, o Serviço Secreto dos EUA anunciou a realização de uma operação na qual foi descoberta e desmantelada a maior fazenda de SIM da história do país.

De acordo com o The New York Times, a investigação sobre este caso começou após o início do ano, quando altos funcionários começaram a receber chamadas anônimas com ameaças. As vítimas foram dois funcionários da Casa Branca e um agente do Serviço Secreto.

Durante as operações, foram apreendidos mais de 300 servidores SIM combinados e 100.000 cartões SIM. A fazenda operava a 56 km da sede da ONU, onde ocorria a reunião da Assembleia Geral com a participação de líderes mundiais. Os serviços de inteligência conseguiram neutralizar a fazenda algumas horas antes da reunião.

Fonte: Serviço Secreto dos EUA. A capacidade da fazenda permitia enviar spam para praticamente todos os números de telefone americanos em poucos minutos, além de inutilizar toda a rede de telecomunicações nacional.

Durante a investigação, os agentes descobriram apartamentos vazios de conspiração, alugados em Armonk (estado de Nova Iorque), Greenwich (estado de Connecticut), Queens (estado de Nova Iorque) e Nova Jersey. Os agentes também apreenderam armas de fogo, computadores, telemóveis e 80 gramas de cocaína.

Surgiram as primeiras pistas no caso do ataque aos aeroportos europeus

No dia 24 de setembro, um suspeito de disseminar um software de resgate que causou grandes interrupções nos sistemas dos aeroportos europeus foi detido.

Um homem foi preso no Reino Unido pela NCA como parte de uma investigação sobre um incidente cibernético que impactou a Collins Aerospace.

Leia a história completa ➡️ pic.twitter.com/v2DL1st9SC

— Agência Nacional do Crime (NCA) (@NCA_UK) 24 de setembro de 2025

As autoridades afirmaram que a prisão foi efetuada após a investigação de um ciberataque que afetou o software Multi-User System Environment (MUSE) da Collins Aerospace. Durante o período da investigação, o suspeito foi libertado sob fiança.

O ataque foi detectado na sexta-feira, 19 de setembro, quando surgiram as primeiras notícias sobre atrasos nos voos. Na lista de nós de transporte que estão enfrentando dificuldades técnicas estão o Aeroporto de Heathrow em Londres, o Aeroporto de Bruxelas, o Aeroporto de Dublin, o Aeroporto de Berlim de Willy Brandt e outros.

A Interpol apreendeu $439 milhões em criptomoeda e dinheiro

Durante uma operação internacional liderada pela Interpol, as autoridades de aplicação da lei apreenderam mais de $439 milhões em dinheiro e criptomoeda. As autoridades acreditam que os fundos confiscados estão relacionados a crimes cibernéticos que afetaram milhares de vítimas em todo o mundo.

A operação codename HAECHI VI foi realizada de abril a agosto com a participação das autoridades de 40 países. Durante ela, os investigadores prenderam 400 carteiras de criptomoedas e bloquearam mais de 68.000 contas bancárias relacionadas. Aproximadamente $16 milhões em criptomoedas foram apreendidos.

No âmbito da operação em Portugal, 45 suspeitos de acesso ilegal às contas de segurança social foram detidos. Além disso, a Polícia Real da Tailândia apreendeu $6,6 milhões, transferidos por uma corporação japonesa não identificada para contas controladas por um grupo criminoso transnacional, composto por cidadãos da Tailândia e da África Ocidental.

Também no ForkLog:

• O protocolo DeFi Hypervault "evaporou-se" com ativos criptográficos no valor de $3,6 milhões.
• Mídia: a SEC e a FINRA iniciaram uma investigação contra empresas DAT.
• O cofundador da Ethereum pediu para substituir sistemas fechados na medicina e nas finanças por soluções abertas.
• O hacker que invadiu o UXLINK tornou-se ele próprio uma vítima do ataque.
• A Bloomberg informou sobre um hack anteriormente desconhecido da Crypto.com.
• O fundador da Solana alertou sobre a realidade da ameaça quântica para o bitcoin.