⚡ Não perca: notícia importante no ar! ⚡
A notícia que você procurava está aqui!
Apoie esse projeto de divulgacao de noticias! Clique aqui
O ator de ameaça patrocinado pelo Estado, ligado à Rússia e identificado como APT28, foi atribuído a uma nova campanha que visa entidades específicas na Europa Ocidental e Central.
A atividade, de acordo com a equipe de inteligência de ameaças LAB52 do S2 Grupo, esteve ativa entre setembro de 2025 e janeiro de 2026. Recebeu o codinome Operação MacroMaze. “A campanha depende de ferramentas básicas e da exploração de serviços legítimos para infraestrutura e exfiltração de dados”, disse a empresa de segurança cibernética.
As cadeias de ataque empregam e-mails de spear-phishing como ponto de partida para distribuir documentos de isca que contêm um elemento estrutural comum em seu XML, um campo chamado "INCLUDEPICTURE" que aponta para um URL de site webhook[.]que hospeda uma imagem JPG. Isso, por sua vez, faz com que o arquivo de imagem seja obtido do servidor remoto quando o documento for aberto.
Em outras palavras, esse mecanismo atua como um mecanismo de beacon semelhante a um pixel de rastreamento que aciona uma solicitação HTTP de saída para o webhook[.]URL do site ao abrir o documento. O operador do servidor pode registrar metadados associados à solicitação, confirmando que o documento foi realmente aberto pelo destinatário.
LAB52 disse que identificou vários documentos com macros ligeiramente ajustadas entre o final de setembro de 2025 e janeiro de 2026, todos os quais funcionam como um conta-gotas para estabelecer uma posição no host comprometido e entregar cargas adicionais.
“Embora a lógica central de todas as macros detectadas permaneça consistente, os scripts mostram uma evolução nas técnicas de evasão, que vão desde a execução ‘sem cabeça’ do navegador na versão mais antiga até o uso de simulação de teclado (SendKeys) nas versões mais recentes para potencialmente ignorar os prompts de segurança”, explicou a empresa espanhola de segurança cibernética.
A macro foi projetada para executar um script Visual Basic (VBScript) para mover a infecção para o próximo estágio. O script, por sua vez, executa um arquivo CMD para estabelecer persistência por meio de tarefas agendadas e iniciar um script em lote para renderizar uma pequena carga útil HTML codificada em Base64 no Microsoft Edge no modo headless para evitar a detecção, recuperar um comando do webhook[.]endpoint do site, executá-lo, capturá-lo e exfiltrá-lo para outra instância do webhook[.]site na forma de um arquivo HTML.
Descobriu-se que uma segunda variante do script em lote evita a execução sem cabeça em favor de mover a janela do navegador para fora da tela, seguida pelo encerramento agressivo de todos os outros processos do navegador Edge para garantir um ambiente controlado.
“Quando o arquivo HTML resultante é renderizado pelo Microsoft Edge, o formulário é enviado, fazendo com que a saída do comando coletada seja exfiltrada para o endpoint remoto do webhook sem interação do usuário”, disse LAB52. "Essa técnica de exfiltração baseada em navegador aproveita a funcionalidade HTML padrão para transmitir dados e, ao mesmo tempo, minimizar artefatos detectáveis no disco."
"Esta campanha prova que a simplicidade pode ser poderosa. O invasor usa ferramentas muito básicas (arquivos em lote, pequenos inicializadores VBS e HTML simples), mas as organiza com cuidado para maximizar a furtividade: mover operações para sessões ocultas ou fora da tela do navegador, limpar artefatos e terceirizar a entrega de carga útil e a exfiltração de dados para serviços de webhook amplamente utilizados."
A atividade, de acordo com a equipe de inteligência de ameaças LAB52 do S2 Grupo, esteve ativa entre setembro de 2025 e janeiro de 2026. Recebeu o codinome Operação MacroMaze. “A campanha depende de ferramentas básicas e da exploração de serviços legítimos para infraestrutura e exfiltração de dados”, disse a empresa de segurança cibernética.
As cadeias de ataque empregam e-mails de spear-phishing como ponto de partida para distribuir documentos de isca que contêm um elemento estrutural comum em seu XML, um campo chamado "INCLUDEPICTURE" que aponta para um URL de site webhook[.]que hospeda uma imagem JPG. Isso, por sua vez, faz com que o arquivo de imagem seja obtido do servidor remoto quando o documento for aberto.
Em outras palavras, esse mecanismo atua como um mecanismo de beacon semelhante a um pixel de rastreamento que aciona uma solicitação HTTP de saída para o webhook[.]URL do site ao abrir o documento. O operador do servidor pode registrar metadados associados à solicitação, confirmando que o documento foi realmente aberto pelo destinatário.
LAB52 disse que identificou vários documentos com macros ligeiramente ajustadas entre o final de setembro de 2025 e janeiro de 2026, todos os quais funcionam como um conta-gotas para estabelecer uma posição no host comprometido e entregar cargas adicionais.
“Embora a lógica central de todas as macros detectadas permaneça consistente, os scripts mostram uma evolução nas técnicas de evasão, que vão desde a execução ‘sem cabeça’ do navegador na versão mais antiga até o uso de simulação de teclado (SendKeys) nas versões mais recentes para potencialmente ignorar os prompts de segurança”, explicou a empresa espanhola de segurança cibernética.
A macro foi projetada para executar um script Visual Basic (VBScript) para mover a infecção para o próximo estágio. O script, por sua vez, executa um arquivo CMD para estabelecer persistência por meio de tarefas agendadas e iniciar um script em lote para renderizar uma pequena carga útil HTML codificada em Base64 no Microsoft Edge no modo headless para evitar a detecção, recuperar um comando do webhook[.]endpoint do site, executá-lo, capturá-lo e exfiltrá-lo para outra instância do webhook[.]site na forma de um arquivo HTML.
Descobriu-se que uma segunda variante do script em lote evita a execução sem cabeça em favor de mover a janela do navegador para fora da tela, seguida pelo encerramento agressivo de todos os outros processos do navegador Edge para garantir um ambiente controlado.
“Quando o arquivo HTML resultante é renderizado pelo Microsoft Edge, o formulário é enviado, fazendo com que a saída do comando coletada seja exfiltrada para o endpoint remoto do webhook sem interação do usuário”, disse LAB52. "Essa técnica de exfiltração baseada em navegador aproveita a funcionalidade HTML padrão para transmitir dados e, ao mesmo tempo, minimizar artefatos detectáveis no disco."
"Esta campanha prova que a simplicidade pode ser poderosa. O invasor usa ferramentas muito básicas (arquivos em lote, pequenos inicializadores VBS e HTML simples), mas as organiza com cuidado para maximizar a furtividade: mover operações para sessões ocultas ou fora da tela do navegador, limpar artefatos e terceirizar a entrega de carga útil e a exfiltração de dados para serviços de webhook amplamente utilizados."
Fonte: https://thehackernews.com
#samirnews #samir #news #boletimtec #apt28 #direcionou #entidades #europeias #usando #malware #de #macro #baseado #em #webhook
🎉 Obrigado por acompanhar, até a próxima notícia!
Postar um comentário