Código HTML do Conteúdo

Post: Invasores Adotando Novas Técnicas de LOTL para Evitar a Detecção - Against Invaders - Notícias de CyberSecurity para humanos.

<div> <div> <div> <div data-edit-folder-name="text" data-index="0" data-layout-id="2" id="layout-c818b343-0f19-42e4-ab94-2cd9a61b485c"> <p>Os agentes de amea&ccedil;as est&atilde;o usando novas t&aacute;ticas de viver fora da terra (LOTL) para evitar melhor a detec&ccedil;&atilde;o, de acordo com a HP Wolf <em>Relat&oacute;rio de insights de amea&ccedil;as do 2&ordm; trimestre de 2025</em>.</p> <p>Essas t&aacute;ticas incluem o uso crescente de v&aacute;rios bin&aacute;rios, muitas vezes incomuns, em uma &uacute;nica campanha e novos usos de arquivos de imagem, tornando mais dif&iacute;cil para as equipes de seguran&ccedil;a distinguir entre atividades maliciosas e leg&iacute;timas.</p> <p>Alex Holland, pesquisador principal de amea&ccedil;as do HP Security Lab, explicou: &ldquo;Estamos vendo mais encadeamento de ferramentas vivas e uso de tipos de arquivos menos &oacute;bvios, como imagens, para evitar a detec&ccedil;&atilde;o. Tome os shells reversos como exemplo &ndash; voc&ecirc; n&atilde;o precisa descartar um Trojan de acesso remoto (RAT) completo quando um script simples e leve alcan&ccedil;ar&aacute; o mesmo efeito. &Eacute; simples, r&aacute;pido e muitas vezes passa despercebido porque &eacute; muito b&aacute;sico.&rdquo;</p> <h2><strong>Malware XWorm executado por meio do MSBuild</strong></h2> <p>Em um incidente observado, os invasores encadearam v&aacute;rias ferramentas LOTL, incluindo as menos conhecidas, para fornecer o malware XWorm, um RAT que cont&eacute;m recursos para roubo de dados e controle remoto.</p> <p>Notavelmente, a carga final foi ocultada nos pixels de uma imagem baixada de um site confi&aacute;vel, decodificada via PowerShell e executada por meio do MSBuild.</p> <p>O ataque come&ccedil;ou com os invasores distribuindo arquivos maliciosos de Ajuda HTML Compilada (.chm) como anexos de e-mail, disfar&ccedil;ados de documenta&ccedil;&atilde;o do projeto &ndash; algo que os usu&aacute;rios geralmente exigem quando precisam de ajuda para usar aplicativos do Windows.</p> <p>Os arquivos maliciosos n&atilde;o continham documenta&ccedil;&atilde;o, apenas scripts maliciosos projetados para iniciar uma infec&ccedil;&atilde;o em v&aacute;rios est&aacute;gios.</p> <p>O script inserido usa v&aacute;rios bin&aacute;rios LOTL do Windows para evitar a detec&ccedil;&atilde;o e executar a carga. Isso inclui o uso do extrac32.exe para copiar o execut&aacute;vel leg&iacute;timo do Windows Script Host (cscript.exe) do System32 para o diret&oacute;rio de usu&aacute;rio p&uacute;blico.</p> <p>A campanha soltou um arquivo VBScript no diret&oacute;rio Public, com o PowerShell usado para executar o script.</p> <p>O arquivo em lotes, tamb&eacute;m executado por meio do PowerShell, baixou um arquivo JavaScript para o diret&oacute;rio ProgramData e o executa usando o interpretador de script nativo do Windows</p> <p>O script do PowerShell baixou uma imagem de um site de gerenciamento de ativos digitais chamado Tagbox. Como este dom&iacute;nio de site era confi&aacute;vel e o arquivo uma imagem v&aacute;lida, ele ignora a maioria dos filtros de seguran&ccedil;a.</p> <p>No entanto, essa imagem continha dados ocultos, que s&atilde;o carregados em um objeto bitmap. Isso desencadeia uma sequ&ecirc;ncia de eventos que baixa, decodifica e executa a carga final, XWorm, no processo leg&iacute;timo do MSBuild.</p> <h2><strong>PDF atrai para entregar malware</strong></h2> <p>O Lobo HP <a href="https://threatresearch.ext.hp.com/hp-wolf-security-threat-insights-report-september-2025/" target="_blank">relat&oacute;rio</a>, publicado em 12 de setembro, tamb&eacute;m destacou novos usos de <a href="https://www.infosecurity-magazine.com/news/hackers-svg-files-javascript/" target="_blank">Gr&aacute;ficos vetoriais escal&aacute;veis</a> (SVG) para entregar malware.</p> <p>Os SVGs cont&ecirc;m instru&ccedil;&otilde;es de texto semelhantes a XML (Extensible Markup Language) para desenhar imagens redimension&aacute;veis baseadas em vetores em um computador.</p> <p>Os arquivos fornecem um <a href="https://www.infosecurity-magazine.com/news/cybercriminals-graphics-files/" target="_blank">Gama de vantagens</a> para agentes de amea&ccedil;as, incluindo o fato de que eles abrem no navegador padr&atilde;o em computadores Windows e podem ser usados para desenhar uma variedade de formas e gr&aacute;ficos, permitindo a representa&ccedil;&atilde;o de v&aacute;rias entidades.</p> <p>Eles tamb&eacute;m costumam se comportar como documentos HTML, permitindo que os invasores abusem de tecnologias padr&atilde;o da Web, como incorporar JavaScript ou fazer refer&ecirc;ncia a recursos externos hospedados em servidores controlados por invasores.</p> <p>Em novos incidentes observados no segundo trimestre, os invasores distribu&iacute;ram arquivos SVG extremamente pequenos que n&atilde;o eram maliciosos por conta pr&oacute;pria.</p> <p>Quando aberto em um navegador, o SVG exibia uma imita&ccedil;&atilde;o convincente de uma interface do Adobe Acrobat Reader, completa com uma anima&ccedil;&atilde;o de upload de documento falso e uma barra de carregamento que se preenchia gradualmente. Isso deu &agrave; v&iacute;tima a impress&atilde;o de um aplicativo da web leg&iacute;timo.</p> <p>Depois que o upload falso foi conclu&iacute;do, o usu&aacute;rio foi solicitado a recuperar o suposto envolvimento. No entanto, clicar no bot&atilde;o de download acionou uma solicita&ccedil;&atilde;o em segundo plano para um URL externo, que serviu um arquivo ZIP.</p> <p>Esse arquivo ZIP continha um arquivo JavaScript ofuscado por meio da substitui&ccedil;&atilde;o de strings, concedendo aos invasores controle b&aacute;sico sobre o sistema infectado.</p> <p>Os invasores tamb&eacute;m usaram geofencing para restringir downloads a regi&otilde;es espec&iacute;ficas &ndash; uma t&aacute;tica projetada para evitar an&aacute;lises automatizadas e atrasar a detec&ccedil;&atilde;o.</p> <h2><strong>Lumma Stealer Spread via arquivos IMG</strong></h2> <p>O Lumma Stealer emergiu como uma das fam&iacute;lias de malware mais ativas observadas pelos pesquisadores no segundo trimestre de 2025.</p> <p>Em uma campanha not&aacute;vel, o infostealer foi incorporado em arquivos IMG em e-mails de phishing para evitar a detec&ccedil;&atilde;o.</p> <p>A imagem de disco continha um arquivo de aplicativo HTML (HTA) disfar&ccedil;ado de fatura. Se um usu&aacute;rio tentar inspecionar o arquivo em um editor de texto, o script incorporado ficar&aacute; oculto atr&aacute;s de longas sequ&ecirc;ncias de espa&ccedil;os em branco para evitar an&aacute;lises casuais.</p> <p>Quando executado, o script compilou e executou um comando do PowerShell, que baixou um execut&aacute;vel de uma URL predefinida. Este execut&aacute;vel era um instalador do Windows constru&iacute;do usando o Nullsoft Scriptable Install System (NSIS), uma ferramenta de c&oacute;digo aberto para a cria&ccedil;&atilde;o de instaladores.</p> <p>Ele executa um script de instala&ccedil;&atilde;o personalizado, que cria v&aacute;rias chaves do Registro que fazem refer&ecirc;ncia a v&aacute;rios caminhos de arquivo e tenta abrir v&aacute;rios arquivos inexistentes, provavelmente com a inten&ccedil;&atilde;o de enganar os analistas.</p> <p>Por fim, o instalador do NSIS iniciou outro comando do PowerShell, que executou um arquivo descartado da pasta AppData local.</p> <p>O PowerShell executou dois c&oacute;digos de shell, que ap&oacute;s v&aacute;rios est&aacute;gios de descompacta&ccedil;&atilde;o, implantou e executou o Lumma Stealer.</p> <p>Os pesquisadores observaram que, apesar da derrubada da aplica&ccedil;&atilde;o da lei de <a href="https://www.infosecurity-magazine.com/news/law-enforcers-microsoft-2300-lumma/" target="_blank">Infraestrutura do Lumma Stealer</a> em maio de 2025, as campanhas continuaram em junho e as operadoras come&ccedil;aram a reconstruir sua infraestrutura.</p> </div> </div> </div></div>