⚡ Não perca: notícia importante no ar! ⚡
Confira agora e compartilhe com seus amigos!
Apoie esse projeto de divulgacao de noticias! Clique aqui
Um suposto ator de ameaça ao nexo com o Irã foi atribuído a uma campanha que visava funcionários do governo no Iraque, fazendo-se passar pelo Ministério das Relações Exteriores do país para entregar um conjunto de malware nunca antes visto.
O Zscaler ThreatLabz, que observou a atividade em janeiro de 2026, está rastreando o cluster sob o nome Dust Spectre. Os ataques, que se manifestam na forma de duas cadeias de infecção diferentes, culminam na implantação de malware denominado SPLITDROP, TWINTASK, TWINTALK e GHOSTFORM.
“O Dust Spectre usou caminhos URI gerados aleatoriamente para comunicação de comando e controle (C2) com valores de soma de verificação anexados aos caminhos URI para garantir que essas solicitações se originassem de um sistema infectado real”, disse o pesquisador de segurança Sudeep Singh. "O servidor C2 também utilizou técnicas de cerca geográfica e verificação de agente de usuário."
Um aspecto notável da campanha é o compromisso da infra-estrutura relacionada com o governo iraquiano para preparar cargas maliciosas, para não mencionar a utilização de técnicas de evasão para atrasar a execução e passar despercebidas.
A primeira sequência de ataque começa com um arquivo RAR protegido por senha, dentro do qual existe um conta-gotas .NET chamado SPLITDROP, que atua como um canal para TWINTASK, um módulo de trabalho, e TWINTALK, um orquestrador C2.
TWINTASK, por sua vez, é uma DLL maliciosa ("libvlc.dll") que é carregada pelo binário legítimo "vlc.exe" para pesquisar periodicamente um arquivo ("C:\ProgramData\PolGuid\in.txt") a cada 15 segundos para novos comandos e executá-los usando o PowerShell. Isso também inclui comandos para estabelecer persistência no host por meio de alterações no Registro do Windows. A saída do script e os erros são capturados em um arquivo de texto separado ("C:\ProgramData\PolGuid\out.txt").
TWINTASK, na primeira inicialização, é projetado para executar outro binário legítimo presente no arquivo extraído ("WingetUI.exe"), fazendo com que ele carregue a DLL TWINTALK ("hostfxr.dll"). Seu objetivo principal é entrar em contato com o servidor C2 para novos comandos, coordenar tarefas com TWINTASK e exfiltrar os resultados de volta para o servidor. Ele oferece suporte à capacidade de gravar o corpo do comando da resposta C2 em “in.txt”, bem como fazer download e upload de arquivos.
“O orquestrador C2 trabalha em paralelo com o módulo de trabalho descrito anteriormente para implementar um mecanismo de pesquisa baseado em arquivo usado para execução de código”, disse Singh. "Após a execução, o TWINTALK entra em um loop de beaconing e atrasa a execução em um intervalo aleatório antes de pesquisar o servidor C2 em busca de novos comandos."
A segunda cadeia de ataque representa uma evolução da primeira, consolidando todas as funcionalidades do TWINTASK e TWINTALK em um único binário denominado GHOSTFORM. Ele utiliza a execução de scripts do PowerShell na memória para executar comandos recuperados do servidor C2, eliminando assim a necessidade de gravar artefatos no disco.
Esse não é o único fator diferenciador entre as duas cadeias de ataque. Descobriu-se que alguns binários GHOSTFORM incorporam um URL de Formulários Google codificado que é iniciado automaticamente no navegador padrão do sistema assim que o malware começa a ser executado. O formulário apresenta conteúdo escrito em árabe e se disfarça como uma pesquisa oficial do Ministério das Relações Exteriores do Iraque.
A análise de Zscaler do código-fonte TWINTALK e GHOSTFORM também descobriu a presença de valores de espaço reservado, emojis e texto Unicode, sugerindo que ferramentas generativas de inteligência artificial (IA) podem ter sido usadas para auxiliar no desenvolvimento do malware.
Além do mais, diz-se que o domínio C2 associado ao TWINTALK, “meetingapp[.]site”, foi usado pelos atores do Dust Spectre em uma campanha de julho de 2025 para hospedar uma página falsa de convite para reuniões do Cisco Webex que instrui os usuários a copiar, colar e executar um script do PowerShell para ingressar na reunião. As instruções refletem uma tática amplamente vista em ataques de engenharia social no estilo ClickFix.
O script do PowerShell, por sua vez, cria um diretório no host e tenta buscar uma carga não especificada do mesmo domínio e salvá-la como um executável no diretório recém-criado. Ele também cria uma tarefa agendada para executar o binário malicioso a cada duas horas.
As conexões do Dust Spectre com o Irã baseiam-se no fato de que grupos de hackers iranianos têm um histórico de desenvolvimento de backdoors .NET leves e personalizados para atingir seus objetivos. A utilização de infraestruturas comprometidas do governo iraquiano foi observada em campanhas anteriores ligadas a atores ameaçadores como a OilRig (também conhecida como APT34).
“Esta campanha, atribuída com confiança média a alta ao Dust Spectre, provavelmente teve como alvo funcionários do governo usando iscas convincentes de engenharia social que se faziam passar pelo Ministério das Relações Exteriores do Iraque”, disse Zscaler. “A atividade também reflete tendências mais amplas, incluindo técnicas do tipo ClickFix e o uso crescente de IA generativa para desenvolvimento de malware.”
O Zscaler ThreatLabz, que observou a atividade em janeiro de 2026, está rastreando o cluster sob o nome Dust Spectre. Os ataques, que se manifestam na forma de duas cadeias de infecção diferentes, culminam na implantação de malware denominado SPLITDROP, TWINTASK, TWINTALK e GHOSTFORM.
“O Dust Spectre usou caminhos URI gerados aleatoriamente para comunicação de comando e controle (C2) com valores de soma de verificação anexados aos caminhos URI para garantir que essas solicitações se originassem de um sistema infectado real”, disse o pesquisador de segurança Sudeep Singh. "O servidor C2 também utilizou técnicas de cerca geográfica e verificação de agente de usuário."
Um aspecto notável da campanha é o compromisso da infra-estrutura relacionada com o governo iraquiano para preparar cargas maliciosas, para não mencionar a utilização de técnicas de evasão para atrasar a execução e passar despercebidas.
A primeira sequência de ataque começa com um arquivo RAR protegido por senha, dentro do qual existe um conta-gotas .NET chamado SPLITDROP, que atua como um canal para TWINTASK, um módulo de trabalho, e TWINTALK, um orquestrador C2.
TWINTASK, por sua vez, é uma DLL maliciosa ("libvlc.dll") que é carregada pelo binário legítimo "vlc.exe" para pesquisar periodicamente um arquivo ("C:\ProgramData\PolGuid\in.txt") a cada 15 segundos para novos comandos e executá-los usando o PowerShell. Isso também inclui comandos para estabelecer persistência no host por meio de alterações no Registro do Windows. A saída do script e os erros são capturados em um arquivo de texto separado ("C:\ProgramData\PolGuid\out.txt").
TWINTASK, na primeira inicialização, é projetado para executar outro binário legítimo presente no arquivo extraído ("WingetUI.exe"), fazendo com que ele carregue a DLL TWINTALK ("hostfxr.dll"). Seu objetivo principal é entrar em contato com o servidor C2 para novos comandos, coordenar tarefas com TWINTASK e exfiltrar os resultados de volta para o servidor. Ele oferece suporte à capacidade de gravar o corpo do comando da resposta C2 em “in.txt”, bem como fazer download e upload de arquivos.
“O orquestrador C2 trabalha em paralelo com o módulo de trabalho descrito anteriormente para implementar um mecanismo de pesquisa baseado em arquivo usado para execução de código”, disse Singh. "Após a execução, o TWINTALK entra em um loop de beaconing e atrasa a execução em um intervalo aleatório antes de pesquisar o servidor C2 em busca de novos comandos."
A segunda cadeia de ataque representa uma evolução da primeira, consolidando todas as funcionalidades do TWINTASK e TWINTALK em um único binário denominado GHOSTFORM. Ele utiliza a execução de scripts do PowerShell na memória para executar comandos recuperados do servidor C2, eliminando assim a necessidade de gravar artefatos no disco.
Esse não é o único fator diferenciador entre as duas cadeias de ataque. Descobriu-se que alguns binários GHOSTFORM incorporam um URL de Formulários Google codificado que é iniciado automaticamente no navegador padrão do sistema assim que o malware começa a ser executado. O formulário apresenta conteúdo escrito em árabe e se disfarça como uma pesquisa oficial do Ministério das Relações Exteriores do Iraque.
A análise de Zscaler do código-fonte TWINTALK e GHOSTFORM também descobriu a presença de valores de espaço reservado, emojis e texto Unicode, sugerindo que ferramentas generativas de inteligência artificial (IA) podem ter sido usadas para auxiliar no desenvolvimento do malware.
Além do mais, diz-se que o domínio C2 associado ao TWINTALK, “meetingapp[.]site”, foi usado pelos atores do Dust Spectre em uma campanha de julho de 2025 para hospedar uma página falsa de convite para reuniões do Cisco Webex que instrui os usuários a copiar, colar e executar um script do PowerShell para ingressar na reunião. As instruções refletem uma tática amplamente vista em ataques de engenharia social no estilo ClickFix.
O script do PowerShell, por sua vez, cria um diretório no host e tenta buscar uma carga não especificada do mesmo domínio e salvá-la como um executável no diretório recém-criado. Ele também cria uma tarefa agendada para executar o binário malicioso a cada duas horas.
As conexões do Dust Spectre com o Irã baseiam-se no fato de que grupos de hackers iranianos têm um histórico de desenvolvimento de backdoors .NET leves e personalizados para atingir seus objetivos. A utilização de infraestruturas comprometidas do governo iraquiano foi observada em campanhas anteriores ligadas a atores ameaçadores como a OilRig (também conhecida como APT34).
“Esta campanha, atribuída com confiança média a alta ao Dust Spectre, provavelmente teve como alvo funcionários do governo usando iscas convincentes de engenharia social que se faziam passar pelo Ministério das Relações Exteriores do Iraque”, disse Zscaler. “A atividade também reflete tendências mais amplas, incluindo técnicas do tipo ClickFix e o uso crescente de IA generativa para desenvolvimento de malware.”
Fonte: https://thehackernews.com
#samirnews #samir #news #boletimtec #dust #spectre #tem #como #alvo #autoridades #iraquianas #com #novos #malwares #splitdrop #e #ghostform
🔔 Siga-nos para não perder nenhuma atualização!
Postar um comentário