Título: Invasores Adotando Novas Técnicas de LOTL para Evitar a Detecção - Against Invaders - Notícias de CyberSecurity para humanos.
Data: 2025-09-14 21:47:47
Autor: Inteligência Against Invaders
URL: https://datalake.azaeo.com/news-againstinvaders-com/07dd3cac6e2b9d2afc210bb6db0142d1/invasores-adotando-novas-tecnicas-de-lotl-para-evitar-a-deteccao-against-invaders-noticias-de-cybersecurity-para-humanos/861/

Os agentes de amea&ccedil;as est&atilde;o usando novas t&aacute;ticas de viver fora da terra (LOTL) para evitar melhor a detec&ccedil;&atilde;o, de acordo com a HP Wolf Relat&oacute;rio de insights de amea&ccedil;as do 2&ordm; trimestre de 2025.
Essas t&aacute;ticas incluem o uso crescente de v&aacute;rios bin&aacute;rios, muitas vezes incomuns, em uma &uacute;nica campanha e novos usos de arquivos de imagem, tornando mais dif&iacute;cil para as equipes de seguran&ccedil;a distinguir entre atividades maliciosas e leg&iacute;timas.
Alex Holland, pesquisador principal de amea&ccedil;as do HP Security Lab, explicou: &ldquo;Estamos vendo mais encadeamento de ferramentas vivas e uso de tipos de arquivos menos &oacute;bvios, como imagens, para evitar a detec&ccedil;&atilde;o. Tome os shells reversos como exemplo &ndash; voc&ecirc; n&atilde;o precisa descartar um Trojan de acesso remoto (RAT) completo quando um script simples e leve alcan&ccedil;ar&aacute; o mesmo efeito. &Eacute; simples, r&aacute;pido e muitas vezes passa despercebido porque &eacute; muito b&aacute;sico.&rdquo;
Malware XWorm executado por meio do MSBuild
Em um incidente observado, os invasores encadearam v&aacute;rias ferramentas LOTL, incluindo as menos conhecidas, para fornecer o malware XWorm, um RAT que cont&eacute;m recursos para roubo de dados e controle remoto.
Notavelmente, a carga final foi ocultada nos pixels de uma imagem baixada de um site confi&aacute;vel, decodificada via PowerShell e executada por meio do MSBuild.
O ataque come&ccedil;ou com os invasores distribuindo arquivos maliciosos de Ajuda HTML Compilada (.chm) como anexos de e-mail, disfar&ccedil;ados de documenta&ccedil;&atilde;o do projeto &ndash; algo que os usu&aacute;rios geralmente exigem quando precisam de ajuda para usar aplicativos do Windows.
Os arquivos maliciosos n&atilde;o continham documenta&ccedil;&atilde;o, apenas scripts maliciosos projetados para iniciar uma infec&ccedil;&atilde;o em v&aacute;rios est&aacute;gios.
O script inserido usa v&aacute;rios bin&aacute;rios LOTL do Windows para evitar a detec&ccedil;&atilde;o e executar a carga. Isso inclui o uso do extrac32.exe para copiar o execut&aacute;vel leg&iacute;timo do Windows Script Host (cscript.exe) do System32 para o diret&oacute;rio de usu&aacute;rio p&uacute;blico.
A campanha soltou um arquivo VBScript no diret&oacute;rio Public, com o PowerShell usado para executar o script.
O arquivo em lotes, tamb&eacute;m executado por meio do PowerShell, baixou um arquivo JavaScript para o diret&oacute;rio ProgramData e o executa usando o interpretador de script nativo do Windows
O script do PowerShell baixou uma imagem de um site de gerenciamento de ativos digitais chamado Tagbox. Como este dom&iacute;nio de site era confi&aacute;vel e o arquivo uma imagem v&aacute;lida, ele ignora a maioria dos filtros de seguran&ccedil;a.
No entanto, essa imagem continha dados ocultos, que s&atilde;o carregados em um objeto bitmap. Isso desencadeia uma sequ&ecirc;ncia de eventos que baixa, decodifica e executa a carga final, XWorm, no processo leg&iacute;timo do MSBuild.
PDF atrai para entregar malware
O Lobo HP relat&oacute;rio, publicado em 12 de setembro, tamb&eacute;m destacou novos usos de Gr&aacute;ficos vetoriais escal&aacute;veis (SVG) para entregar malware.
Os SVGs cont&ecirc;m instru&ccedil;&otilde;es de texto semelhantes a XML (Extensible Markup Language) para desenhar imagens redimension&aacute;veis baseadas em vetores em um computador.
Os arquivos fornecem um Gama de vantagens para agentes de amea&ccedil;as, incluindo o fato de que eles abrem no navegador padr&atilde;o em computadores Windows e podem ser usados para desenhar uma variedade de formas e gr&aacute;ficos, permitindo a representa&ccedil;&atilde;o de v&aacute;rias entidades.
Eles tamb&eacute;m costumam se comportar como documentos HTML, permitindo que os invasores abusem de tecnologias padr&atilde;o da Web, como incorporar JavaScript ou fazer refer&ecirc;ncia a recursos externos hospedados em servidores controlados por invasores.
Em novos incidentes observados no segundo trimestre, os invasores distribu&iacute;ram arquivos SVG extremamente pequenos que n&atilde;o eram maliciosos por conta pr&oacute;pria.
Quando aberto em um navegador, o SVG exibia uma imita&ccedil;&atilde;o convincente de uma interface do Adobe Acrobat Reader, completa com uma anima&ccedil;&atilde;o de upload de documento falso e uma barra de carregamento que se preenchia gradualmente. Isso deu &agrave; v&iacute;tima a impress&atilde;o de um aplicativo da web leg&iacute;timo.
Depois que o upload falso foi conclu&iacute;do, o usu&aacute;rio foi solicitado a recuperar o suposto envolvimento. No entanto, clicar no bot&atilde;o de download acionou uma solicita&ccedil;&atilde;o em segundo plano para um URL externo, que serviu um arquivo ZIP.
Esse arquivo ZIP continha um arquivo JavaScript ofuscado por meio da substitui&ccedil;&atilde;o de strings, concedendo aos invasores controle b&aacute;sico sobre o sistema infectado.
Os invasores tamb&eacute;m usaram geofencing para restringir downloads a regi&otilde;es espec&iacute;ficas &ndash; uma t&aacute;tica projetada para evitar an&aacute;lises automatizadas e atrasar a detec&ccedil;&atilde;o.
Lumma Stealer Spread via arquivos IMG
O Lumma Stealer emergiu como uma das fam&iacute;lias de malware mais ativas observadas pelos pesquisadores no segundo trimestre de 2025.
Em uma campanha not&aacute;vel, o infostealer foi incorporado em arquivos IMG em e-mails de phishing para evitar a detec&ccedil;&atilde;o.
A imagem de disco continha um arquivo de aplicativo HTML (HTA) disfar&ccedil;ado de fatura. Se um usu&aacute;rio tentar inspecionar o arquivo em um editor de texto, o script incorporado ficar&aacute; oculto atr&aacute;s de longas sequ&ecirc;ncias de espa&ccedil;os em branco para evitar an&aacute;lises casuais.
Quando executado, o script compilou e executou um comando do PowerShell, que baixou um execut&aacute;vel de uma URL predefinida. Este execut&aacute;vel era um instalador do Windows constru&iacute;do usando o Nullsoft Scriptable Install System (NSIS), uma ferramenta de c&oacute;digo aberto para a cria&ccedil;&atilde;o de instaladores.
Ele executa um script de instala&ccedil;&atilde;o personalizado, que cria v&aacute;rias chaves do Registro que fazem refer&ecirc;ncia a v&aacute;rios caminhos de arquivo e tenta abrir v&aacute;rios arquivos inexistentes, provavelmente com a inten&ccedil;&atilde;o de enganar os analistas.
Por fim, o instalador do NSIS iniciou outro comando do PowerShell, que executou um arquivo descartado da pasta AppData local.
O PowerShell executou dois c&oacute;digos de shell, que ap&oacute;s v&aacute;rios est&aacute;gios de descompacta&ccedil;&atilde;o, implantou e executou o Lumma Stealer.
Os pesquisadores observaram que, apesar da derrubada da aplica&ccedil;&atilde;o da lei de Infraestrutura do Lumma Stealer em maio de 2025, as campanhas continuaram em junho e as operadoras come&ccedil;aram a reconstruir sua infraestrutura.