🚨 NOVA NOTÍCIA EM DESTAQUE! 🚨
Não deixe essa passar: clique e saiba tudo!
Apoie esse projeto de divulgacao de noticias! Clique aqui
Por Sila Ozeren Hacioglu, engenheira de pesquisa de segurança da Picus Security.
Violações espalhafatosas estão fora de questão.
Os invasores estão cada vez mais abandonando ataques barulhentos e perturbadores em favor de infiltrações não detectadas e de longo prazo.
Para apoiar essa mudança em direção à furtividade, os desenvolvedores de malware estão avançando agressivamente em suas técnicas de evasão, projetando cargas altamente sensíveis ao contexto. Indo muito além das verificações básicas de ambiente, eles estão adicionando testes de verificação humana matematicamente complexos e monitoramento avançado de tempo no nível da CPU aos seus arsenais para ajudá-los a permanecer indetectados. Em vez de executar cegamente uma vez dentro de um ambiente host, as cargas modernas agora calculam se um ser humano real está atrás do teclado e medem o arrasto invisível de um hipervisor antes de detonar.
O Picus Red Report™ 2026, que analisou mais de 1,1 milhão de arquivos maliciosos e 15,5 milhões de ações mapeadas para MITRE ATT&CK® ao longo de 2025, confirma essa grande mudança. Os invasores estão se afastando de violações ousadas do tipo "esmagar e agarrar" em favor de táticas mais sorrateiras de "Parasitas Digitais", com 80% das dez principais técnicas observadas agora dedicadas estritamente à evasão e à persistência.
Impulsionando essa mudança está o ressurgimento explosivo da virtualização/evasão de sandbox (T1497). Notavelmente ausente das paradas de sucesso nos últimos dois anos, disparou para a quarta técnica mais usada em 2025, encontrada em 20% das 221.054 amostras de malware analisadas.
Isso significa que 1 em cada 5 cepas de malware modernas simplesmente “se fingirão de mortas” se detectarem que estão em um ambiente de análise automatizado.
Abaixo está uma análise técnica das três técnicas avançadas de evasão de sandbox que impulsionam esse aumento e por que alguns pipelines de detecção baseados em detonação podem nunca ver essas amostras serem executadas.
1. Verificações do sistema (T1497.001): O guardião do ambiente
A técnica System Checks (ATT&CK T1497.001) descreve o uso de observações programáticas ou com script para coletar informações sobre o ambiente host, como inventário de hardware, chaves de registro e descoberta em nível de sistema operacional, para determinar se o sistema é um alvo legítimo ou simplesmente uma ferramenta de análise virtualizada.
Antes de descompactar sua carga útil, o malware moderno atua como um guardião do ambiente. Ele realiza uma série de verificações para traçar o perfil do host, procurando artefatos reveladores: unidades de disco com nomes de fornecedores de VM (como "VBOX" ou "VMWare"), endereços MAC vinculados a hipervisores, núcleos de CPU limitados ou ausência de dispositivos de áudio/vídeo.
In the Wild: Um exemplo do novo Red Report é o malware Blitz. Uma análise de junho de 2025 revela como as ameaças Blitz transformam as configurações de host em armas. Sabendo que os sandboxes geralmente são executados em recursos altamente restritos, o Blitz executa verificações programáticas específicas:
Contagem de processadores: Aborta se a contagem de CPU for menor que quatro.
Resolução da tela: sai se a resolução corresponder aos tamanhos de sandbox padrão (por exemplo, 1024x768, 800x600 ou 640x480).
Drivers Sandbox: pesquisando strings de driver específicas associadas a ferramentas de análise conhecidas (como \\?\A3E64E55_fl do ANY.RUN).
Se essas verificações do sistema indicarem um ambiente artificialmente restrito, o Blitz aborta a execução. Isso garante que o malware apenas “entre em operação” em sistemas legítimos e controlados pelo usuário, onde poderá realizar suas atividades maliciosas sem interferência. Sorrateiro e eficaz.
Valide suas defesas contra malware evasivo
A análise de arquivos não é mais suficiente quando o malware morre em sandboxes. Mude para a caça comportamental com Validação de Exposição Adversarial (AEV).
Veja como usar nossos 5 modelos de relatório vermelho de ameaças para simular técnicas furtivas com segurança
Obtenha sua demonstração hoje
2. Verificações baseadas na atividade do usuário (T1497.002): usando trigonometria para provar que você é humano
As verificações baseadas na atividade do usuário (ATT&CK T1497.002) são técnicas de evasão de sandbox que analisam padrões de interação humana para determinar se o malware está sendo executado no sistema de um usuário real ou dentro de um ambiente de análise automatizado. A última onda de evasão vai além das impressões digitais de hardware. Em vez de perguntar “Isto é uma VM?” o malware agora pergunta “Essa é uma pessoa real?”
In the Wild: Uma análise de novembro de 2025 do LummaC2 v4.0 expôs uma implementação particularmente avançada. Como alguém com uma sólida formação matemática, eu pessoalmente chamo isso de Teste de Turing Baseado em Trigonometria. Assim, em vez de simplesmente verificar se o mouse se move, o malware avalia como ele se move. Se o comportamento do cursor parecer sintético, a carga nunca será executada.
Veja como funciona o teste:
Captura de movimento: usando a API GetCursorPos() do Windows, o LummaC2 registra cinco posições consecutivas (x,y) do cursor (P0 a P4) com atrasos de 50 ms entre cada amostra.
Distância Euclidiana: O malware trata cada par de pontos como vetores de movimento e, quando dois vetores consecutivos são conectados, eles formam um segmento de linha. O malware calcula a duração de cada segmento de movimento para garantir
Violações espalhafatosas estão fora de questão.
Os invasores estão cada vez mais abandonando ataques barulhentos e perturbadores em favor de infiltrações não detectadas e de longo prazo.
Para apoiar essa mudança em direção à furtividade, os desenvolvedores de malware estão avançando agressivamente em suas técnicas de evasão, projetando cargas altamente sensíveis ao contexto. Indo muito além das verificações básicas de ambiente, eles estão adicionando testes de verificação humana matematicamente complexos e monitoramento avançado de tempo no nível da CPU aos seus arsenais para ajudá-los a permanecer indetectados. Em vez de executar cegamente uma vez dentro de um ambiente host, as cargas modernas agora calculam se um ser humano real está atrás do teclado e medem o arrasto invisível de um hipervisor antes de detonar.
O Picus Red Report™ 2026, que analisou mais de 1,1 milhão de arquivos maliciosos e 15,5 milhões de ações mapeadas para MITRE ATT&CK® ao longo de 2025, confirma essa grande mudança. Os invasores estão se afastando de violações ousadas do tipo "esmagar e agarrar" em favor de táticas mais sorrateiras de "Parasitas Digitais", com 80% das dez principais técnicas observadas agora dedicadas estritamente à evasão e à persistência.
Impulsionando essa mudança está o ressurgimento explosivo da virtualização/evasão de sandbox (T1497). Notavelmente ausente das paradas de sucesso nos últimos dois anos, disparou para a quarta técnica mais usada em 2025, encontrada em 20% das 221.054 amostras de malware analisadas.
Isso significa que 1 em cada 5 cepas de malware modernas simplesmente “se fingirão de mortas” se detectarem que estão em um ambiente de análise automatizado.
Abaixo está uma análise técnica das três técnicas avançadas de evasão de sandbox que impulsionam esse aumento e por que alguns pipelines de detecção baseados em detonação podem nunca ver essas amostras serem executadas.
1. Verificações do sistema (T1497.001): O guardião do ambiente
A técnica System Checks (ATT&CK T1497.001) descreve o uso de observações programáticas ou com script para coletar informações sobre o ambiente host, como inventário de hardware, chaves de registro e descoberta em nível de sistema operacional, para determinar se o sistema é um alvo legítimo ou simplesmente uma ferramenta de análise virtualizada.
Antes de descompactar sua carga útil, o malware moderno atua como um guardião do ambiente. Ele realiza uma série de verificações para traçar o perfil do host, procurando artefatos reveladores: unidades de disco com nomes de fornecedores de VM (como "VBOX" ou "VMWare"), endereços MAC vinculados a hipervisores, núcleos de CPU limitados ou ausência de dispositivos de áudio/vídeo.
In the Wild: Um exemplo do novo Red Report é o malware Blitz. Uma análise de junho de 2025 revela como as ameaças Blitz transformam as configurações de host em armas. Sabendo que os sandboxes geralmente são executados em recursos altamente restritos, o Blitz executa verificações programáticas específicas:
Contagem de processadores: Aborta se a contagem de CPU for menor que quatro.
Resolução da tela: sai se a resolução corresponder aos tamanhos de sandbox padrão (por exemplo, 1024x768, 800x600 ou 640x480).
Drivers Sandbox: pesquisando strings de driver específicas associadas a ferramentas de análise conhecidas (como \\?\A3E64E55_fl do ANY.RUN).
Se essas verificações do sistema indicarem um ambiente artificialmente restrito, o Blitz aborta a execução. Isso garante que o malware apenas “entre em operação” em sistemas legítimos e controlados pelo usuário, onde poderá realizar suas atividades maliciosas sem interferência. Sorrateiro e eficaz.
Valide suas defesas contra malware evasivo
A análise de arquivos não é mais suficiente quando o malware morre em sandboxes. Mude para a caça comportamental com Validação de Exposição Adversarial (AEV).
Veja como usar nossos 5 modelos de relatório vermelho de ameaças para simular técnicas furtivas com segurança
Obtenha sua demonstração hoje
2. Verificações baseadas na atividade do usuário (T1497.002): usando trigonometria para provar que você é humano
As verificações baseadas na atividade do usuário (ATT&CK T1497.002) são técnicas de evasão de sandbox que analisam padrões de interação humana para determinar se o malware está sendo executado no sistema de um usuário real ou dentro de um ambiente de análise automatizado. A última onda de evasão vai além das impressões digitais de hardware. Em vez de perguntar “Isto é uma VM?” o malware agora pergunta “Essa é uma pessoa real?”
In the Wild: Uma análise de novembro de 2025 do LummaC2 v4.0 expôs uma implementação particularmente avançada. Como alguém com uma sólida formação matemática, eu pessoalmente chamo isso de Teste de Turing Baseado em Trigonometria. Assim, em vez de simplesmente verificar se o mouse se move, o malware avalia como ele se move. Se o comportamento do cursor parecer sintético, a carga nunca será executada.
Veja como funciona o teste:
Captura de movimento: usando a API GetCursorPos() do Windows, o LummaC2 registra cinco posições consecutivas (x,y) do cursor (P0 a P4) com atrasos de 50 ms entre cada amostra.
Distância Euclidiana: O malware trata cada par de pontos como vetores de movimento e, quando dois vetores consecutivos são conectados, eles formam um segmento de linha. O malware calcula a duração de cada segmento de movimento para garantir
#samirnews #samir #news #boletimtec #o #novo #teste #de #turing: #como #as #ameaças #usam #a #geometria #para #provar #“humanidade”
🚀 Mais conteúdos incríveis estão por vir, fique atento!
Postar um comentário