🚨 NOVA NOTÍCIA EM DESTAQUE! 🚨
Sua opinião é importante: leia e participe!
Apoie esse projeto de divulgacao de noticias! Clique aqui
Pesquisadores de segurança cibernética divulgaram detalhes de uma nova campanha chamada CRESCENTHARVEST, provavelmente visando apoiadores dos protestos em curso no Irã para conduzir roubo de informações e espionagem de longo prazo.
A Unidade de Pesquisa de Ameaças da Acronis (TRU) disse que observou a atividade após 9 de janeiro, com os ataques projetados para entregar uma carga maliciosa que serve como um trojan de acesso remoto (RAT) e ladrão de informações para executar comandos, registrar pressionamentos de teclas e exfiltrar dados confidenciais. Atualmente não se sabe se algum dos ataques foi bem-sucedido.
“A campanha explora desenvolvimentos geopolíticos recentes para atrair as vítimas a abrirem arquivos .LNK maliciosos disfarçados de imagens ou vídeos relacionados a protestos”, disseram os pesquisadores Subhajeet Singha, Eliad Kimhy e Darrel Virtusio em um relatório publicado esta semana.
“Estes ficheiros vêm acompanhados de meios de comunicação autênticos e de um relatório em língua farsi que fornece atualizações das ‘cidades rebeldes do Irão’. Este enquadramento pró-protesto parece ter a intenção de aumentar a credibilidade e atrair iranianos de língua farsi que procuram informações relacionadas com os protestos."
Acredita-se que CRESCENTHARVEST, embora não atribuído, seja obra de um grupo de ameaça alinhado ao Irã. A descoberta torna-a a segunda campanha deste tipo identificada como perseguindo indivíduos específicos na sequência dos protestos nacionais no Irão que começaram no final de 2025.
No mês passado, a empresa francesa de segurança cibernética HarfangLab detalhou um cluster de ameaças denominado RedKitten que tinha como alvo organizações não governamentais e indivíduos envolvidos na documentação de recentes abusos dos direitos humanos no Irã, com o objetivo de infectá-los com um backdoor personalizado conhecido como SloppyMIO.
De acordo com a Acronis, o vetor de acesso inicial exato usado para distribuir o malware não é conhecido. No entanto, suspeita-se que os atores da ameaça estejam contando com spear-phishing ou “esforços prolongados de engenharia social”, nos quais os operadores constroem relacionamento com as vítimas ao longo do tempo, antes de enviarem as cargas maliciosas.
É importante notar que grupos de hackers iranianos como Charming Kitten e Tortoiseshell têm um histórico de envolvimento em ataques sofisticados de engenharia social que envolvem abordar possíveis alvos sob personas falsas e cultivar um relacionamento com eles, em alguns casos até mesmo por anos, antes de transformar a confiança em uma arma para infectá-los com malware.
“O uso de conteúdo em língua farsi para engenharia social e os arquivos distribuídos que descrevem os protestos em termos heróicos sugerem uma intenção de atrair indivíduos de origem iraniana que falam farsi, que apoiam os protestos em curso”, observou a empresa de segurança com sede na Suíça.
O ponto de partida da cadeia de ataque é um arquivo RAR malicioso que afirma conter informações relacionadas aos protestos iranianos, incluindo várias imagens e vídeos, juntamente com dois arquivos de atalho do Windows (LNK) que se disfarçam como uma imagem ou arquivo de vídeo usando o truque de extensão dupla (*.jpg.lnk ou *.mp4.lnk).
O arquivo enganoso, uma vez iniciado, contém código PowerShell para recuperar outro arquivo ZIP, ao mesmo tempo que abre uma imagem ou vídeo inofensivo, fazendo a vítima pensar que interagiu com um arquivo benigno.
Presente no arquivo ZIP está um binário legítimo assinado pelo Google ("software_reporter_tool.exe") enviado como parte do utilitário de limpeza do Chrome e vários arquivos DLL, incluindo duas bibliotecas não autorizadas que são carregadas pelo executável para realizar os objetivos do agente da ameaça -
urtcbased140d_d.dll, um implante C++ que extrai e descriptografa as chaves de criptografia vinculadas ao aplicativo do Chrome por meio de interfaces COM. Ele compartilha sobreposições com um projeto de código aberto conhecido como ChromElevator.
version.dll (também conhecido como CRESCENTHARVEST), uma ferramenta de acesso remoto que lista produtos antivírus e ferramentas de segurança instalados, enumera contas de usuários locais no dispositivo, carrega DLLs, coleta metadados do sistema, credenciais do navegador, dados de contas de desktop do Telegram e pressionamentos de tecla.
CRESCENTHARVEST emprega APIs HTTP do Windows Win para se comunicar com seu servidor de comando e controle (C2) ("servicelog-information[.]com"), permitindo que ele se misture com o tráfego normal. Alguns dos comandos suportados estão listados abaixo -
Anti, para executar verificações anti-análise
Dele, para roubar o histórico do navegador
Dir, para listar diretórios
Cwd, para obter o diretório de trabalho atual
Cd, para mudar de diretório
GetUser, para obter informações do usuário
ps, para executar comandos do PowerShell (não funciona)
KeyLog, para ativar o keylogger
Tel_s, para roubar dados da sessão do Telegram
Cook, para roubar cookies do navegador
Informações, para roubar informações do sistema
F_log, para roubar credenciais do navegador
Carregar, para fazer upload de arquivos
shell, para executar comandos shell
“A campanha CRESCENTHARVEST representa o capítulo mais recente de um padrão de uma década de suspeitas de operações de espionagem cibernética em estados-nação visando jornalistas, ativistas, pesquisadores e membros da diáspora.
A Unidade de Pesquisa de Ameaças da Acronis (TRU) disse que observou a atividade após 9 de janeiro, com os ataques projetados para entregar uma carga maliciosa que serve como um trojan de acesso remoto (RAT) e ladrão de informações para executar comandos, registrar pressionamentos de teclas e exfiltrar dados confidenciais. Atualmente não se sabe se algum dos ataques foi bem-sucedido.
“A campanha explora desenvolvimentos geopolíticos recentes para atrair as vítimas a abrirem arquivos .LNK maliciosos disfarçados de imagens ou vídeos relacionados a protestos”, disseram os pesquisadores Subhajeet Singha, Eliad Kimhy e Darrel Virtusio em um relatório publicado esta semana.
“Estes ficheiros vêm acompanhados de meios de comunicação autênticos e de um relatório em língua farsi que fornece atualizações das ‘cidades rebeldes do Irão’. Este enquadramento pró-protesto parece ter a intenção de aumentar a credibilidade e atrair iranianos de língua farsi que procuram informações relacionadas com os protestos."
Acredita-se que CRESCENTHARVEST, embora não atribuído, seja obra de um grupo de ameaça alinhado ao Irã. A descoberta torna-a a segunda campanha deste tipo identificada como perseguindo indivíduos específicos na sequência dos protestos nacionais no Irão que começaram no final de 2025.
No mês passado, a empresa francesa de segurança cibernética HarfangLab detalhou um cluster de ameaças denominado RedKitten que tinha como alvo organizações não governamentais e indivíduos envolvidos na documentação de recentes abusos dos direitos humanos no Irã, com o objetivo de infectá-los com um backdoor personalizado conhecido como SloppyMIO.
De acordo com a Acronis, o vetor de acesso inicial exato usado para distribuir o malware não é conhecido. No entanto, suspeita-se que os atores da ameaça estejam contando com spear-phishing ou “esforços prolongados de engenharia social”, nos quais os operadores constroem relacionamento com as vítimas ao longo do tempo, antes de enviarem as cargas maliciosas.
É importante notar que grupos de hackers iranianos como Charming Kitten e Tortoiseshell têm um histórico de envolvimento em ataques sofisticados de engenharia social que envolvem abordar possíveis alvos sob personas falsas e cultivar um relacionamento com eles, em alguns casos até mesmo por anos, antes de transformar a confiança em uma arma para infectá-los com malware.
“O uso de conteúdo em língua farsi para engenharia social e os arquivos distribuídos que descrevem os protestos em termos heróicos sugerem uma intenção de atrair indivíduos de origem iraniana que falam farsi, que apoiam os protestos em curso”, observou a empresa de segurança com sede na Suíça.
O ponto de partida da cadeia de ataque é um arquivo RAR malicioso que afirma conter informações relacionadas aos protestos iranianos, incluindo várias imagens e vídeos, juntamente com dois arquivos de atalho do Windows (LNK) que se disfarçam como uma imagem ou arquivo de vídeo usando o truque de extensão dupla (*.jpg.lnk ou *.mp4.lnk).
O arquivo enganoso, uma vez iniciado, contém código PowerShell para recuperar outro arquivo ZIP, ao mesmo tempo que abre uma imagem ou vídeo inofensivo, fazendo a vítima pensar que interagiu com um arquivo benigno.
Presente no arquivo ZIP está um binário legítimo assinado pelo Google ("software_reporter_tool.exe") enviado como parte do utilitário de limpeza do Chrome e vários arquivos DLL, incluindo duas bibliotecas não autorizadas que são carregadas pelo executável para realizar os objetivos do agente da ameaça -
urtcbased140d_d.dll, um implante C++ que extrai e descriptografa as chaves de criptografia vinculadas ao aplicativo do Chrome por meio de interfaces COM. Ele compartilha sobreposições com um projeto de código aberto conhecido como ChromElevator.
version.dll (também conhecido como CRESCENTHARVEST), uma ferramenta de acesso remoto que lista produtos antivírus e ferramentas de segurança instalados, enumera contas de usuários locais no dispositivo, carrega DLLs, coleta metadados do sistema, credenciais do navegador, dados de contas de desktop do Telegram e pressionamentos de tecla.
CRESCENTHARVEST emprega APIs HTTP do Windows Win para se comunicar com seu servidor de comando e controle (C2) ("servicelog-information[.]com"), permitindo que ele se misture com o tráfego normal. Alguns dos comandos suportados estão listados abaixo -
Anti, para executar verificações anti-análise
Dele, para roubar o histórico do navegador
Dir, para listar diretórios
Cwd, para obter o diretório de trabalho atual
Cd, para mudar de diretório
GetUser, para obter informações do usuário
ps, para executar comandos do PowerShell (não funciona)
KeyLog, para ativar o keylogger
Tel_s, para roubar dados da sessão do Telegram
Cook, para roubar cookies do navegador
Informações, para roubar informações do sistema
F_log, para roubar credenciais do navegador
Carregar, para fazer upload de arquivos
shell, para executar comandos shell
“A campanha CRESCENTHARVEST representa o capítulo mais recente de um padrão de uma década de suspeitas de operações de espionagem cibernética em estados-nação visando jornalistas, ativistas, pesquisadores e membros da diáspora.
Fonte: https://thehackernews.com
#samirnews #samir #news #boletimtec #campanha #crescentharvest #tem #como #alvo #apoiadores #de #protestos #no #irã #com #malware #rat
🚀 Mais conteúdos incríveis estão por vir, fique atento!
Postar um comentário