O Lobo Malware

O Lobo Malware

Atacantes exploram o Webview2 para implantar o malware CoinLurker

Agentes maliciosos estão explorando o WebView2, uma tecnologia usada para incorporar conteúdo da web em aplicativos de desktop, para implantar um novo malware chamado CoinLurker. O WebView2 permite que aplicativos executem HTML, CSS e JavaScript, mas os invasores estão usando essa capacidade para injetar JavaScript malicioso, roubar cookies e ignorar a autenticação multifator (MFA).

Os métodos de infecção incluem alertas de atualização falsos em sites WordPress comprometidos, redirecionamentos de malvertising, e-mails de phishing com links para páginas de atualização falsas, prompts falsos de verificação CAPTCHA, downloads diretos de sites falsos ou infectados e links compartilhados em mídias sociais e aplicativos de mensagens.

De acordo com Nadav Lorber, pesquisador da Morphisec, “escrito em Go, o CoinLurker emprega técnicas avançadas de ofuscação e anti-análise, tornando-o altamente eficaz em ataques cibernéticos modernos”. Muitas sandboxes não possuem WebView2 ou não conseguem replicar as ações do usuário, permitindo que o malware evite a detecção automatizada. 

Uma tática avançada usada nessas campanhas é a técnica chamada EtherHiding, na qual sites comprometidos são injetados com scripts que se conectam à infraestrutura Web3 para recuperar a carga final de um repositório Bitbucket disfarçado como ferramentas legítimas (por exemplo, “UpdateMe.exe”, “SecurityPatch.exe”). Esses executáveis são assinados com certificados de Validação Estendida (EV) legítimos, mas roubados, contornando as barreiras de segurança. Na etapa final, um “injetor multicamadas” implanta a carga no processo Microsoft Edge (“msedge.exe”).

O CoinLurker também usa um design inteligente para ocultar suas ações e dificultar a análise, incluindo ofuscação pesada, decodificação da carga diretamente na memória durante a execução e técnicas para ocultar o caminho de execução do programa. Uma vez lançado, o malware se comunica com um servidor remoto usando uma abordagem baseada em socket e coleta dados de diretórios específicos associados a carteiras de criptomoedas (como Bitcoin, Ethereum, Ledger Live e Exodus), Telegram, Discord e FileZilla.

Saiba mais ➝


DarkGate: o malware que pode chegar através do Microsoft Teams e AnyDesk

Uma nova campanha de engenharia social está aproveitando-se do Microsoft Teams como forma de facilitar a instalação de um malware conhecido como DarkGate. De acordo com pesquisadores da Trend Micro, nesta técnica, um atacante personifica um cliente, entra em contato com a vítima através do Teams e consegue acesso remoto em seus sistemas. Para o acesso remoto, duas aplicações podem ser utilizadas: Microsoft Remote Support ou o AnyDesk, sendo que a última é a mais observada em ataques recentes. Mas, afinal, o que é o DarkGate?

Em vigor desde 2018, observado por pesquisadores do Fortinet, o DarkGate é um trojan de acesso remoto (RAT), que evoluiu para um Malware-as-a-Service (MaaS), oferecendo uma vasta gama de controles customizáveis e ferramentas que permitem a condução do roubo de credenciais, keylogging, captura de tela – tanto com gravações quanto prints – e até mesmo gravação de áudio e acesso remoto à área de trabalho. E aqui notamos uma clara evolução, haja vista este post de 2020 da Avast falando sobre o malware, conhecido à época como “Meh”.

Fluxo de ataque da campanha de implante do DarkGate. Fonte: TheHackerNews

Como mencionado anteriormente, as campanhas para implante do DarkGate são feitas, majoritariamente, via engenharia social pelo Microsoft Teams. Mas este não é o único vetor de ataque de campanhas similares. Existem campanhas realizadas através de ações no YouTube, de Quishing, de páginas falsas da Cloudflare e muitas outras formas. Uma delas, inclusive, contamos em nosso Instagram: o Bad Captcha.

O mais importante é estar atento ao cenário cibernético global, entendendo que ofensores podem capitalizar eventos extremos para obterem vantagens indevidas, manipulando vítimas e persuadindo-os a executarem ações diversas. Isto inclui: lançamento de produtos, catástrofes globais, eventos esportivos e muitos outros.

Saiba mais ➝


Patches & Updates

  • Delinea: A empresa pioneira em fornecer soluções de autorização centralizada, Delinea, anunciou que foi autorizada como uma Autoridade de Numeração CVE (CNA), podendo identificar, definir e catalogar publicamente as vulnerabilidades divulgadas através do CVE – Common Vulnerabilities and Exposures. Com isso, a Delinea será capaz de designar números identificadores a novas vulnerabilidades, além de criar e publicar informações sobre a vulnerabilidade em um recorde CVE. Para refrescar a memória, o programa CVE é patrocinado pela Agência de Segurança Cibernética dos EUA, a CISA, e é operacionalizada pelo MITRE, em colaboração com acadêmicos, grandes nomes da indústria internacional e stakeholders governamentais.     
  • CISA: A Agência de Segurança Cibernética dos EUA alertou as organizações na segunda-feira sobre duas vulnerabilidades que estão sendo ativamente exploradas por ciber atacantes. Uma delas é a CVE-2024-35250, uma falha grave no driver de modo kernel do Windows, que pode ser usada por invasores para escalar privilégios no sistema. A Microsoft corrigiu essa vulnerabilidade em junho de 2024. A outra é a CVE-2024-20767, uma vulnerabilidade no Adobe ColdFusion, corrigida pela Adobe em março de 2024. Esta falha crítica de controle de acesso impróprio permite a leitura arbitrária do sistema de arquivos.
  • Okta: A Okta alertou seus clientes e organizações sobre o aumento no volume de tentativas de “engenharias sociais via phishing” personificando o time de suporte da própria Okta. De acordo com a companhia, “os clientes podem ser contatados por telefone ou e-mail quando abrem um caso de suporte. Para validar sua identidade, eles precisarão fornecer informações, mas não serão solicitados a fornecer sua senha ou token de autenticação multifator (MFA)”. A Okta também divulgou números de telefone e contas de e-mail legítimas que usam em seu time de suporte, em tentativa de reduzir o número de fraudes. 
  • Citrix: Há um alerta sobre ataques de pulverização de senhas direcionados aos dispositivos NetScaler e NetScaler Gateway. Estes ataques fazem parte de uma campanha mais ampla, detalhada em abril de 2024, que visa serviços VPN e SSH de várias empresas, incluindo Cisco, CheckPoint, Fortinet e SonicWall. A Cisco corrigiu uma vulnerabilidade relacionada em outubro, e a Microsoft alertou sobre ataques semelhantes a roteadores no final do mês. Várias organizações estão sendo alvo desses ataques, que podem causar negação de serviço (DoS) e exigem mitigação urgente. Embora a autenticação multifator (MFA) possa prevenir acessos não autorizados, o registro excessivo e a sobrecarga da CPU podem afetar a operação, tornando o dispositivo instável.


Destaques pelo mundo

  • Kali: Foi lançada a versão 2024.4, a quarta e última do ano, trazendo quatorze novas ferramentas. Entre os destaques, estão o maior suporte ao Raspberry Pi, uma nova versão padrão do Python e o fim das compilações i386. Agora, você pode usar o gerador de imagens para pré-configurar as configurações que serão aplicadas automaticamente à imagem do Kali Linux Raspberry Pi quando ela for gravada no cartão microSD. Essas configurações podem incluir um nome de host personalizado, credenciais de login, chaves SSH, configuração de rede Wi-Fi e configurações de localidade, facilitando muito a configuração da imagem conforme necessário antes da primeira inicialização.
  • The Mask: Uma Ameaça Persistente Avançada (APT), conhecida como The Mask,  que ganhou notoriedade por realizar ataques avançados desde 2007 e colecionar mais de 380 vítimas únicas desde então, está de volta ao cibercrime. Desta vez, existem evidências sugerindo que o The Mask, também conhecido como Careto, desenvolveu um arsenal de malware completíssimo, capaz de afetar sistemas Windows, macOS, Android e iOS. Ainda são poucos os registros recentes deste APT, mais notadamente em uma empresa da América Latina em 2022 e uma organização não identificada no começo de 2024, mas tudo leva a crer que este grupo está de volta e acende um sinal de alerta para os times defensivos de todo o mundo. 
  • Deepfakes: Levantamento norte-americano aponta que as mulheres no Congresso têm 70 vezes mais probabilidade de serem alvo de deepfakes do que os homens, muitas vezes com imagens sexualmente explícitas criadas por IA. A investigação também demonstrou que cerca de 41% das mulheres entre os 18 e os 29 anos autocensuram o que publicam online, a fim de evitar assédio e abuso.
  • Glutton: Pesquisadores de uma empresa de cibersegurança na China descobriram um backdoor bastante avançado, em PHP, que dá indícios de pertencer ao arsenal de ferramentas de uma Ameaça Persistente Avançada (APT) conhecida como Wintti. Os pesquisadores são do XLab, da empresa Qi An Xin, e intitularam o backdoor de Glutton – acreditando que o malware passou despercebido por mais de um ano. Suas principais vítimas estão na China, Estados Unidos, Camboja, Paquistão e África do Sul. O Glutton é capaz de exfiltração de dados e injeção de código malicioso em frameworks PHP, como Baota, ThinkPHP, Yii e Laravel.


Quer saber mais? Siga-nos nas redes sociais: Linkedin, Instagram e Twitter.

Segurança nunca é demais, ainda mais nos dias de hoje.

Compartilhe o conhecimento, espalhe a segurança!

Conte-nos o que achou nos comentários :)

Siga nossa Newsletter e se mantenha atualizado sobre as últimas tendências em Cybersec!

Escrito por: Thaís Hudari Abib e Murilo Lopes

Diretor de arte: George Lopes

Entre para ver ou adicionar um comentário

Outras pessoas também visualizaram

Conferir tópicos