Prisão dos sequestradores de contas Roblox perto de Lviv, invasão do planejador de tarefas chinês com o objetivo de mineração e outros eventos de cibersegurança - ForkLog: criptomoedas, IA, singularidade, futuro

# Prisão dos sequestradores de contas Roblox perto de Lviv, invasão do planejador de tarefas chinês com objetivo de mineração e outros eventos de cibersegurança

Reunimos as notícias mais importantes do mundo da cibersegurança da semana.

• Autoridades realizaram operações contra centros de golpes na Europa, Emirados Árabes e Tailândia.
• Especialistas descobriram um kit de phishing com funções de IA.
• Hackers de Drohobych venderam credenciais de jogadores do Roblox por quase 10 milhões de hryvnias.
• Um erro crítico no software de ransomware leva à perda irreversível de dados.

Autoridades realizaram operações contra centros de golpes na Europa, Emirados Árabes e Tailândia

Durante uma operação conjunta, as autoridades dos EUA, China, Emirados Árabes e Tailândia interromperam as atividades de nove centros de golpes de criptomoedas e prenderam 276 suspeitos. O relatório foi divulgado pelo Departamento de Justiça dos EUA.

Detidos nos Emirados Árabes e Tailândia, usavam esquemas de “porco-espinho”. Após a concordância da vítima, perdiam o acesso à criptomoeda “investida”. Os criminosos também convenciam as vítimas a pegar empréstimos com parentes e a contrair dívidas.

Um cidadão de Mianmar, Tet Min Nyi, foi acusado de conspiração para fraude e lavagem de dinheiro. Segundo as investigações, ele era gerente e recrutador de uma das estruturas criminosas, conhecida como Ko Thet Company. Também aguardam julgamento membros dos grupos Sanduo Group e Giant Company.

Na Europa, na semana passada, foi desmantelada uma rede de scammers que, segundo suspeitas, causou prejuízos superiores a 50 milhões de euros às vítimas ao redor do mundo.

A operação conjunta da Europol e Eurojust, iniciada em junho de 2023, resultou na prisão de 10 suspeitos, além de buscas em três call centers e nove residências privadas na Áustria e Albânia.

Centro de golpes em Tirana. Fonte: Europol.De acordo com as investigações, as vítimas eram atraídas para plataformas de investimento falsas por meio de anúncios em mecanismos de busca e redes sociais. Na realidade, os fundos eram direcionados para um esquema internacional de lavagem de dinheiro. Em casos de engano secundário, os criminosos entravam em contato novamente com os “clientes”, oferecendo ajuda para recuperar ativos perdidos. As pessoas eram obrigadas a depositar mais 500 euros em criptomoedas como taxa de entrada.

A rede fraudulenta foi registrada como uma empresa legal com 450 funcionários. Os operadores trabalhavam em grupos de seis a oito pessoas, divididos por idioma, recebendo salário mensal de cerca de 800 euros, além de bônus.

Especialistas descobriram um kit de phishing com funções de IA

Especialistas em cibersegurança da Varonis descobriram um kit de phishing chamado Bluekit. Ele oferece aos hackers mais de 40 modelos que imitam serviços populares, além de incluir um assistente de IA integrado para criar rascunhos de campanhas maliciosas.

O kit fornece scripts direcionados a e-mails (Outlook, Hotmail, Gmail, Yahoo, ProtonMail), iCloud, GitHub e carteiras de criptomoedas Ledger.

A principal característica do Bluekit é o painel AI Assistant, que suporta vários modelos de IA, incluindo Llama, GPT-4.1, Claude, Gemini e DeepSeek. A ferramenta ajuda os cibercriminosos a elaborar textos de e-mails de phishing.

Segundo a Varonis, a função está em estágio experimental. Um rascunho de ataque testado tinha uma estrutura útil, mas continha campos genéricos para links, placeholders para QR codes e textos que precisariam de ajustes antes do uso.

Fonte: Varonis.Além da IA, o Bluekit integra em um painel o gerenciamento de todo o ciclo de ataque:

• registro de domínios. Compra e configuração de endereços diretamente na interface;
• gerenciamento de campanhas. Criação de páginas de phishing com design realista e logotipos de marcas conhecidas como Zara, Zoho e Ledger;
• ajustes finos. Bloqueio de tráfego via VPN e proxies, bloqueio de sistemas automatizados de análise e instalação de filtros baseados em impressões digitais de dispositivos;
• interceptação de dados. Transmissão das informações roubadas via Telegram para canais privados dos hackers.

Fonte: Varonis.A plataforma permite monitorar sessões das vítimas em tempo real, incluindo cookies, armazenamento local e estado da sessão ativa após login. Isso ajuda os hackers a ajustarem os ataques para maior eficácia.

Segundo especialistas, apesar de estar em fase de desenvolvimento ativo, o produto evolui rapidamente e pode se tornar amplamente difundido.

Hackers de Drohobych venderam credenciais de jogadores do Roblox por quase 10 milhões de hryvnias

Autoridades de Lviv prenderam criminosos que roubaram contas do Roblox avaliadas em 10 milhões de hryvnias, informou o Escritório do Procurador-Geral da Ucrânia.

Segundo as investigações, três residentes de Drohobych promoviam infostylers disfarçados de ferramentas de melhoria de jogo. Com um malware, os hackers acessavam os dados das vítimas.

Fonte: Escritório do Procurador-Geral da Ucrânia.Os acessos obtidos eram verificados por um programa especial (checker), que mostrava o conteúdo da conta. De outubro de 2025 a janeiro de 2026, mais de 610.000 contas foram filtradas dessa forma para identificar as mais valiosas. Os dados eram vendidos por criptomoedas em sites russos.

Como resultado, as autoridades realizaram 10 buscas, apreendendo equipamentos, gravações, mais de 2.500 euros e cerca de US$35.000. Os suspeitos foram acusados de roubo e crimes cibernéticos.

Um erro crítico no software de ransomware leva à perda irreversível de dados

Especialistas da Check Point descobriram uma falha grave no mecanismo de processamento de números de uso único (nonce) no ransomware VECT 2.0. Em vez de criptografar, o erro leva à destruição de dados sem possibilidade de recuperação.

O problema está na forma como o VECT 2.0 trata arquivos maiores que 128 KB. Para acelerar o processo, o programa divide os objetos em quatro partes e as criptografa separadamente. No entanto, erros na lógica do código causam consequências catastróficas:

1. Todas as partes do arquivo usam o mesmo buffer de memória para a saída do nonce. Cada nova chave gerada sobrescreve a anterior.
2. Como resultado, fica apenas uma parte, que é gravada no disco.
3. É possível recuperar apenas os últimos 25% do arquivo. As três primeiras partes dos dados não podem ser decifradas, pois os números únicos necessários foram perdidos de forma irreversível durante o processo.

Mesmo que a vítima pague o resgate, os criminosos não poderão decifrar os dados, pois os nonce removidos não são enviados aos servidores dos hackers.

Os pesquisadores destacaram que o limite de 128 KB é extremamente baixo. Quase toda a informação corporativa valiosa está sujeita a esse limite:

• imagens de máquinas virtuais;
• bancos de dados e backups;
• documentos de escritório, planilhas e caixas de correio.

Isso transforma o malware de um ransomware em um destruidor de dados comum (wiper), tornando a recompensa inútil. O erro está presente em todas as versões do VECT 2.0 — para Windows, Linux e ESXi.

Nome incorreto do algoritmo de criptografia na publicidade do ransomware. Fonte: Check Point.Segundo especialistas, o VECT foi amplamente divulgado na plataforma de hackers BreachForums. Os operadores convidavam usuários a se tornarem parceiros e enviavam chaves de acesso por mensagens privadas.

Mais tarde, o grupo anunciou uma parceria com a TeamPCP — equipe responsável por ataques recentes às cadeias de suprimentos Trivy, LiteLLM, Telnyx, além de ataques à Comissão Europeia. O objetivo do pacto era usar as vítimas para implantar ransomware.

Hackers invadiram o planejador de tarefas Qinglong com objetivo de mineração

Os hackers exploraram duas vulnerabilidades de bypass de autenticação no planejador de tarefas Qinglong para minerar criptomoedas de forma oculta nos servidores dos desenvolvedores. Informaram especialistas em cibersegurança da Snyk.

Qinglong é uma plataforma de gerenciamento de tarefas em Python/JS de código aberto, popular entre desenvolvedores chineses.

A cadeia de infecção para execução remota de código afetou as versões 2.20.1 e superiores do Qinglong.

Segundo os especialistas, a causa principal das vulnerabilidades está na inconsistência na lógica de autorização do middleware e no comportamento do roteador do framework web Express.js. O nível de autenticação assumia que certos padrões de URL sempre seriam tratados de uma forma, enquanto o Express.js usava outra.

De acordo com a Snyk, a campanha dos hackers começou em 7 de fevereiro de 2026. Usuários do Qinglong foram os primeiros a detectar um processo malicioso oculto chamado .FULLGC. Para disfarçar, o nome imita uma tarefa padrão de uso intensivo de recursos.

O minerador utilizava de 85 a 100% da CPU e tinha como alvo sistemas Linux, ARM64 e macOS. Os desenvolvedores do Qinglong corrigiram a vulnerabilidade no PR 2941.

Também no ForkLog:

• Abril quebrou recorde de invasões na indústria de criptomoedas.
• Hacker retirou mais de US$5 milhões do protocolo Wasabi.
• Na ZetaChain, detalhes de um ataque cross-chain de US$334.000 foram revelados.
• Hackers atacaram o protocolo DeFi Scallop.
• No Litecoin, houve reorganização de blocos devido a uma vulnerabilidade zero-day.

O que ler no fim de semana?

Especialmente para quem perdeu o mais importante do mês, o ForkLog preparou uma visão geral resumida.