🌟 Atualização imperdível para quem gosta de estar bem informado!
Sua opinião é importante: leia e participe!
Apoie esse projeto de divulgacao de noticias! Clique aqui
Um ator de ameaça anteriormente não documentado foi atribuído a ataques direcionados a organizações ucranianas com malware conhecido como CANFAIL.
O Google Threat Intelligence Group (GTIG) descreveu o grupo de hackers como possivelmente afiliado aos serviços de inteligência russos. Avalia-se que o ator da ameaça tenha como alvo organizações de defesa, militares, governamentais e de energia dentro dos governos regionais e nacionais ucranianos.
No entanto, o grupo também demonstrou interesse crescente em organizações aeroespaciais, empresas de produção com ligações militares e de drones, organizações de investigação nuclear e química e organizações internacionais envolvidas na monitorização de conflitos e na ajuda humanitária na Ucrânia, acrescentou o GTIG.
“Apesar de ser menos sofisticado e com menos recursos do que outros grupos de ameaças russos, este ator começou recentemente a superar algumas limitações técnicas usando LLMs [grandes modelos de linguagem]”, disse GTIG.
“Através de avisos, eles conduzem reconhecimento, criam iscas para engenharia social e buscam respostas para questões técnicas básicas para atividades pós-comprometimento e configuração de infraestrutura C2”.
Campanhas recentes de phishing envolveram o ator da ameaça se passando por organizações energéticas ucranianas nacionais e locais legítimas para obter acesso não autorizado a contas de e-mail organizacionais e pessoais.
O grupo também teria se disfarçado de empresa de energia romena que trabalha com clientes na Ucrânia, além de ter como alvo uma empresa romena e realizar reconhecimento em organizações moldavas.
Para permitir as suas operações, o agente da ameaça gera listas de endereços de e-mail adaptadas a regiões e indústrias específicas com base nas suas pesquisas. As cadeias de ataque aparentemente contêm iscas geradas por LLM e incorporam links do Google Drive apontando para um arquivo RAR contendo malware CANFAIL.
Normalmente disfarçado com uma extensão dupla para se passar por um documento PDF (*.pdf.js), o CANFAIL é um malware JavaScript ofuscado projetado para executar um script do PowerShell que, por sua vez, baixa e executa um conta-gotas do PowerShell somente de memória. Paralelamente, exibe uma falsa mensagem de “erro” à vítima.
O Google disse que o ator da ameaça também está vinculado a uma campanha chamada PhantomCaptcha que foi divulgada pelo SentinelOne SentinelLABS em outubro de 2025 como tendo como alvo organizações associadas aos esforços de ajuda à guerra da Ucrânia por meio de e-mails de phishing que direcionam os destinatários para páginas falsas que hospedam instruções no estilo ClickFix para ativar a sequência de infecção e entregar um trojan baseado em WebSocket.
O Google Threat Intelligence Group (GTIG) descreveu o grupo de hackers como possivelmente afiliado aos serviços de inteligência russos. Avalia-se que o ator da ameaça tenha como alvo organizações de defesa, militares, governamentais e de energia dentro dos governos regionais e nacionais ucranianos.
No entanto, o grupo também demonstrou interesse crescente em organizações aeroespaciais, empresas de produção com ligações militares e de drones, organizações de investigação nuclear e química e organizações internacionais envolvidas na monitorização de conflitos e na ajuda humanitária na Ucrânia, acrescentou o GTIG.
“Apesar de ser menos sofisticado e com menos recursos do que outros grupos de ameaças russos, este ator começou recentemente a superar algumas limitações técnicas usando LLMs [grandes modelos de linguagem]”, disse GTIG.
“Através de avisos, eles conduzem reconhecimento, criam iscas para engenharia social e buscam respostas para questões técnicas básicas para atividades pós-comprometimento e configuração de infraestrutura C2”.
Campanhas recentes de phishing envolveram o ator da ameaça se passando por organizações energéticas ucranianas nacionais e locais legítimas para obter acesso não autorizado a contas de e-mail organizacionais e pessoais.
O grupo também teria se disfarçado de empresa de energia romena que trabalha com clientes na Ucrânia, além de ter como alvo uma empresa romena e realizar reconhecimento em organizações moldavas.
Para permitir as suas operações, o agente da ameaça gera listas de endereços de e-mail adaptadas a regiões e indústrias específicas com base nas suas pesquisas. As cadeias de ataque aparentemente contêm iscas geradas por LLM e incorporam links do Google Drive apontando para um arquivo RAR contendo malware CANFAIL.
Normalmente disfarçado com uma extensão dupla para se passar por um documento PDF (*.pdf.js), o CANFAIL é um malware JavaScript ofuscado projetado para executar um script do PowerShell que, por sua vez, baixa e executa um conta-gotas do PowerShell somente de memória. Paralelamente, exibe uma falsa mensagem de “erro” à vítima.
O Google disse que o ator da ameaça também está vinculado a uma campanha chamada PhantomCaptcha que foi divulgada pelo SentinelOne SentinelLABS em outubro de 2025 como tendo como alvo organizações associadas aos esforços de ajuda à guerra da Ucrânia por meio de e-mails de phishing que direcionam os destinatários para páginas falsas que hospedam instruções no estilo ClickFix para ativar a sequência de infecção e entregar um trojan baseado em WebSocket.
Fonte: https://thehackernews.com
#samirnews #samir #news #boletimtec #google #vincula #suposto #ator #russo #a #ataques #de #malware #canfail #em #organizações #ucranianas
💡 Compartilhe e ajude nosso projeto a crescer!
Postar um comentário