🚨 NOVA NOTÍCIA EM DESTAQUE! 🚨
Sua opinião é importante: leia e participe!
Apoie esse projeto de divulgacao de noticias! Clique aqui
Um kit de ferramentas recém-descoberto chamado DKnife tem sido usado desde 2019 para sequestrar tráfego no nível de dispositivos de ponta e distribuir malware em campanhas de espionagem.
A estrutura serve como uma estrutura pós-compromisso para monitoramento de tráfego e atividades de adversário no meio (AitM). Ele foi projetado para interceptar e manipular o tráfego destinado a endpoints (computadores, dispositivos móveis, IoTs) na rede.
Pesquisadores da Cisco Talos dizem que DKnife é uma estrutura ELF com sete componentes baseados em Linux projetados para inspeção profunda de pacotes (DPI), manipulação de tráfego, coleta de credenciais e entrega de malware.
O malware apresenta artefatos do idioma chinês simplificado em nomes de componentes e comentários de código, e visa explicitamente serviços chineses, como provedores de e-mail, aplicativos móveis, domínios de mídia e usuários do WeChat.
Os pesquisadores do Talos avaliam com grande confiança que o operador do DKnife é um ator de ameaça no nexo da China.
Os sete componentes do DKnife e suas funcionalidadesFonte: Cisco Talos
Os pesquisadores não conseguiram determinar como o equipamento de rede foi comprometido, mas descobriram que o DKnife entrega e interage com os backdoors ShadowPad e DarkNimbus, ambos associados a agentes de ameaças chineses.
O DKnife consiste em sete módulos, cada um responsável por atividades específicas relacionadas à comunicação com os servidores C2, retransmitindo ou alterando o tráfego e ocultando a origem do tráfego malicioso:
dknife.bin - responsável pela inspeção de pacotes e lógicas de ataque, também relata o status do ataque, atividades do usuário e envia dados coletados
postapi.bin - componente de retransmissão entre servidores DKnife.bin e C2
sslmm.bin – servidor proxy reverso personalizado derivado do HAProxy
yitiji.bin - cria uma interface Ethernet virtual (TAP) no roteador e a conecta à LAN para rotear o tráfego do invasor
remote.bin - cliente VPN ponto a ponto usando o software VPN n2n
mmdown.bin - downloader e atualizador de malware para arquivos APK do Android
dkupdate.bin - componente de download, implantação e atualização do DKnife
"Seus principais recursos [do DKnife] incluem fornecer atualização C2 para backdoors, sequestro de DNS, sequestro de atualizações de aplicativos Android e downloads binários, fornecimento de backdoors ShadowPad e DarkNimbus, interrupção seletiva do tráfego de produtos de segurança e exfiltração da atividade do usuário para servidores C2 remotos", disseram os pesquisadores em um relatório esta semana.
Depois de instalado, o DKnife usa seu componente yitiji.bin para criar uma interface TAP (dispositivo de rede virtual) em ponte no roteador no endereço IP privado 10.3.3.3. Isso permite que o agente da ameaça intercepte e reescreva pacotes de rede em trânsito para o host pretendido.
Dessa forma, o DKnife pode ser usado para entregar arquivos APK maliciosos para dispositivos móveis ou sistemas Windows na rede.
Os pesquisadores da Cisco observaram o DKnife descartando o backdoor ShadowPad para Windows assinado com o certificado de uma empresa chinesa. Esta ação foi seguida pela implantação do backdoor DarkNimbus. Em dispositivos Android, o backdoor é fornecido diretamente pelo DKnife.
Mecanismo de entrega de carga útil DKnifeFonte: Cisco Talos
Na mesma infraestrutura associada à atividade da estrutura DKnife, os pesquisadores também descobriram que ela hospedava o backdoor WizardNet, que os pesquisadores da ESET vincularam anteriormente à estrutura Spellbinder AitM.
Além da entrega de carga útil, o DKnife também é capaz de:
Sequestro de DNS
sequestrando atualizações de aplicativos Android
sequestrando binários do Windows
Coleta de credenciais via descriptografia POP3/IMAP
Hospedagem de páginas de phishing
Interrupção do tráfego antivírus
monitoramento da atividade do usuário, incluindo uso de aplicativos de mensagens (WeChat e Signal), uso de aplicativos de mapas, consumo de notícias, atividade de chamadas, carona e compras
As atividades do WeChat são rastreadas de forma mais analítica, diz Cisco Talos, com monitoramento DKnife para chamadas de voz e vídeo, mensagens de texto, imagens enviadas e recebidas e artigos lidos na plataforma.
Mecanismo de sequestro de atualização do Android da DKnifeFonte: Cisco Talos
Os eventos de atividade do usuário são primeiro roteados internamente entre os componentes do DKnife e depois exfiltrados por meio de solicitações HTTP POST para terminais de API de comando e controle (C2) específicos.
Como o DKnife fica em dispositivos de gateway e relata eventos à medida que os pacotes passam, ele permite monitorar a atividade do usuário e coletar dados em tempo real.
Em janeiro de 2026, os servidores DKnife C2 ainda estavam ativos, dizem os pesquisadores. O Cisco Talos publicou o conjunto completo de indicadores de comprometimento (IoCs) associados a esta atividade.
O futuro da infraestrutura de TI está aqui
A infraestrutura de TI moderna se move mais rápido do que os fluxos de trabalho manuais podem suportar. Neste novo guia do Tines, saiba como sua equipe pode reduzir atrasos manuais ocultos, melhorar a confiabilidade por meio de respostas automatizadas e criar e dimensionar fluxos de trabalho inteligentes com base nas ferramentas que você já usa.
Obtenha o guia
A estrutura serve como uma estrutura pós-compromisso para monitoramento de tráfego e atividades de adversário no meio (AitM). Ele foi projetado para interceptar e manipular o tráfego destinado a endpoints (computadores, dispositivos móveis, IoTs) na rede.
Pesquisadores da Cisco Talos dizem que DKnife é uma estrutura ELF com sete componentes baseados em Linux projetados para inspeção profunda de pacotes (DPI), manipulação de tráfego, coleta de credenciais e entrega de malware.
O malware apresenta artefatos do idioma chinês simplificado em nomes de componentes e comentários de código, e visa explicitamente serviços chineses, como provedores de e-mail, aplicativos móveis, domínios de mídia e usuários do WeChat.
Os pesquisadores do Talos avaliam com grande confiança que o operador do DKnife é um ator de ameaça no nexo da China.
Os sete componentes do DKnife e suas funcionalidadesFonte: Cisco Talos
Os pesquisadores não conseguiram determinar como o equipamento de rede foi comprometido, mas descobriram que o DKnife entrega e interage com os backdoors ShadowPad e DarkNimbus, ambos associados a agentes de ameaças chineses.
O DKnife consiste em sete módulos, cada um responsável por atividades específicas relacionadas à comunicação com os servidores C2, retransmitindo ou alterando o tráfego e ocultando a origem do tráfego malicioso:
dknife.bin - responsável pela inspeção de pacotes e lógicas de ataque, também relata o status do ataque, atividades do usuário e envia dados coletados
postapi.bin - componente de retransmissão entre servidores DKnife.bin e C2
sslmm.bin – servidor proxy reverso personalizado derivado do HAProxy
yitiji.bin - cria uma interface Ethernet virtual (TAP) no roteador e a conecta à LAN para rotear o tráfego do invasor
remote.bin - cliente VPN ponto a ponto usando o software VPN n2n
mmdown.bin - downloader e atualizador de malware para arquivos APK do Android
dkupdate.bin - componente de download, implantação e atualização do DKnife
"Seus principais recursos [do DKnife] incluem fornecer atualização C2 para backdoors, sequestro de DNS, sequestro de atualizações de aplicativos Android e downloads binários, fornecimento de backdoors ShadowPad e DarkNimbus, interrupção seletiva do tráfego de produtos de segurança e exfiltração da atividade do usuário para servidores C2 remotos", disseram os pesquisadores em um relatório esta semana.
Depois de instalado, o DKnife usa seu componente yitiji.bin para criar uma interface TAP (dispositivo de rede virtual) em ponte no roteador no endereço IP privado 10.3.3.3. Isso permite que o agente da ameaça intercepte e reescreva pacotes de rede em trânsito para o host pretendido.
Dessa forma, o DKnife pode ser usado para entregar arquivos APK maliciosos para dispositivos móveis ou sistemas Windows na rede.
Os pesquisadores da Cisco observaram o DKnife descartando o backdoor ShadowPad para Windows assinado com o certificado de uma empresa chinesa. Esta ação foi seguida pela implantação do backdoor DarkNimbus. Em dispositivos Android, o backdoor é fornecido diretamente pelo DKnife.
Mecanismo de entrega de carga útil DKnifeFonte: Cisco Talos
Na mesma infraestrutura associada à atividade da estrutura DKnife, os pesquisadores também descobriram que ela hospedava o backdoor WizardNet, que os pesquisadores da ESET vincularam anteriormente à estrutura Spellbinder AitM.
Além da entrega de carga útil, o DKnife também é capaz de:
Sequestro de DNS
sequestrando atualizações de aplicativos Android
sequestrando binários do Windows
Coleta de credenciais via descriptografia POP3/IMAP
Hospedagem de páginas de phishing
Interrupção do tráfego antivírus
monitoramento da atividade do usuário, incluindo uso de aplicativos de mensagens (WeChat e Signal), uso de aplicativos de mapas, consumo de notícias, atividade de chamadas, carona e compras
As atividades do WeChat são rastreadas de forma mais analítica, diz Cisco Talos, com monitoramento DKnife para chamadas de voz e vídeo, mensagens de texto, imagens enviadas e recebidas e artigos lidos na plataforma.
Mecanismo de sequestro de atualização do Android da DKnifeFonte: Cisco Talos
Os eventos de atividade do usuário são primeiro roteados internamente entre os componentes do DKnife e depois exfiltrados por meio de solicitações HTTP POST para terminais de API de comando e controle (C2) específicos.
Como o DKnife fica em dispositivos de gateway e relata eventos à medida que os pacotes passam, ele permite monitorar a atividade do usuário e coletar dados em tempo real.
Em janeiro de 2026, os servidores DKnife C2 ainda estavam ativos, dizem os pesquisadores. O Cisco Talos publicou o conjunto completo de indicadores de comprometimento (IoCs) associados a esta atividade.
O futuro da infraestrutura de TI está aqui
A infraestrutura de TI moderna se move mais rápido do que os fluxos de trabalho manuais podem suportar. Neste novo guia do Tines, saiba como sua equipe pode reduzir atrasos manuais ocultos, melhorar a confiabilidade por meio de respostas automatizadas e criar e dimensionar fluxos de trabalho inteligentes com base nas ferramentas que você já usa.
Obtenha o guia
#samirnews #samir #news #boletimtec #o #kit #de #ferramentas #dknife #linux #sequestra #o #tráfego #do #roteador #para #espionar #e #entregar #malware
🚀 Mais conteúdos incríveis estão por vir, fique atento!
Postar um comentário