📰 Informação fresquinha chegando para você!
A notícia que você procurava está aqui!
Apoie esse projeto de divulgacao de noticias! Clique aqui
A gangue de ransomware LeakNet agora está usando a técnica ClickFix para acesso inicial em ambientes corporativos e implanta um carregador de malware baseado no tempo de execução Deno de código aberto para JavaScript e TypeScript.
O invasor está usando o Deno legítimo para decodificar e executar uma carga maliciosa diretamente na memória do sistema, minimizando as evidências forenses no disco e diminuindo a chance de detecção.
LeakNet é um ator de ameaças de ransomware relativamente recente que está ativo desde o final de 2024. O ator tem em média cerca de três vítimas por mês, mas a operação pode se expandir com a adoção das novas táticas.
ClickFix é um ataque de engenharia social amplamente utilizado que engana os usuários para que executem comandos maliciosos em seus sistemas por meio de prompts falsos. A técnica foi adotada por vários grupos de ransomware, como Termite e Interlock.
No caso do LeakNet, a isca ClickFix leva à implantação de um carregador baseado em Deno que executa uma carga JavaScript na memória do sistema.
Isca ClickFix usada por LeakNetSource: ReliaQuest
A ReliaQuest chama essa tática de ataque “traga seu próprio tempo de execução” (BYOR), já que Deno é um tempo de execução JavaScript/TypeScript legítimo que permite a execução de código JS/TS fora do navegador em um sistema.
O Deno é assinado e legítimo, portanto, ignora listas de bloqueio e filtros para execução binária desconhecida.
“Em vez de implantar um carregador de malware personalizado com maior probabilidade de ser sinalizado, os invasores instalam o executável Deno legítimo e o usam para executar código malicioso”, explica ReliaQuest.
“Na atividade observada, esse processo foi iniciado por meio de scripts Visual Basic (VBS) e scripts PowerShell, habilmente chamados de Romeo*.ps1 e Juliet*.vbs.”
O uso do Deno para execução direta na memória é fundamental, pois a atividade deixa para trás artefatos forenses mínimos e aparece como uma tarefa normal do desenvolvedor.
Uma vez executado, o código identifica o host, gera um ID de vítima exclusivo e se conecta ao comando e controle (C2) para extrair a carga útil do segundo estágio. Ao mesmo tempo, executa um loop de pesquisa persistente para receber novos comandos do C2.
Na fase pós-exploração, o LeakNet usa sideload de DLL (jli.dll carregado via Java em C:\ProgramData\USOShared), beaconing C2, descoberta de credenciais via enumeração ‘klist’, movimento lateral via PsExec e teste de carga útil e exfiltração de dados que envolve o abuso de buckets do Amazon S3.
Caminhos de ataque LeakNetFonte: ReliaQuest
Os pesquisadores sublinham que a consistência e a repetibilidade da cadeia de ataque oferecem oportunidades de detecção para os defensores.
Fortes sinais de atividade potencial do LeakNet incluem Deno sendo executado fora de ambientes de desenvolvimento, execução suspeita de ‘execução incorreta’ de navegadores, uso anormal de PsExec, tráfego de saída inesperado para S3 e carregamento lateral de DLL em diretórios incomuns.
Red Report 2026: Por que a criptografia de ransomware caiu 38%
O malware está ficando mais inteligente. O Red Report 2026 revela como novas ameaças usam matemática para detectar sandboxes e se esconder à vista de todos. Baixe nossa análise de 1,1 milhão de amostras maliciosas para descobrir as 10 principais técnicas e ver se sua pilha de segurança está cega.
Baixe o relatório
O invasor está usando o Deno legítimo para decodificar e executar uma carga maliciosa diretamente na memória do sistema, minimizando as evidências forenses no disco e diminuindo a chance de detecção.
LeakNet é um ator de ameaças de ransomware relativamente recente que está ativo desde o final de 2024. O ator tem em média cerca de três vítimas por mês, mas a operação pode se expandir com a adoção das novas táticas.
ClickFix é um ataque de engenharia social amplamente utilizado que engana os usuários para que executem comandos maliciosos em seus sistemas por meio de prompts falsos. A técnica foi adotada por vários grupos de ransomware, como Termite e Interlock.
No caso do LeakNet, a isca ClickFix leva à implantação de um carregador baseado em Deno que executa uma carga JavaScript na memória do sistema.
Isca ClickFix usada por LeakNetSource: ReliaQuest
A ReliaQuest chama essa tática de ataque “traga seu próprio tempo de execução” (BYOR), já que Deno é um tempo de execução JavaScript/TypeScript legítimo que permite a execução de código JS/TS fora do navegador em um sistema.
O Deno é assinado e legítimo, portanto, ignora listas de bloqueio e filtros para execução binária desconhecida.
“Em vez de implantar um carregador de malware personalizado com maior probabilidade de ser sinalizado, os invasores instalam o executável Deno legítimo e o usam para executar código malicioso”, explica ReliaQuest.
“Na atividade observada, esse processo foi iniciado por meio de scripts Visual Basic (VBS) e scripts PowerShell, habilmente chamados de Romeo*.ps1 e Juliet*.vbs.”
O uso do Deno para execução direta na memória é fundamental, pois a atividade deixa para trás artefatos forenses mínimos e aparece como uma tarefa normal do desenvolvedor.
Uma vez executado, o código identifica o host, gera um ID de vítima exclusivo e se conecta ao comando e controle (C2) para extrair a carga útil do segundo estágio. Ao mesmo tempo, executa um loop de pesquisa persistente para receber novos comandos do C2.
Na fase pós-exploração, o LeakNet usa sideload de DLL (jli.dll carregado via Java em C:\ProgramData\USOShared), beaconing C2, descoberta de credenciais via enumeração ‘klist’, movimento lateral via PsExec e teste de carga útil e exfiltração de dados que envolve o abuso de buckets do Amazon S3.
Caminhos de ataque LeakNetFonte: ReliaQuest
Os pesquisadores sublinham que a consistência e a repetibilidade da cadeia de ataque oferecem oportunidades de detecção para os defensores.
Fortes sinais de atividade potencial do LeakNet incluem Deno sendo executado fora de ambientes de desenvolvimento, execução suspeita de ‘execução incorreta’ de navegadores, uso anormal de PsExec, tráfego de saída inesperado para S3 e carregamento lateral de DLL em diretórios incomuns.
Red Report 2026: Por que a criptografia de ransomware caiu 38%
O malware está ficando mais inteligente. O Red Report 2026 revela como novas ameaças usam matemática para detectar sandboxes e se esconder à vista de todos. Baixe nossa análise de 1,1 milhão de amostras maliciosas para descobrir as 10 principais técnicas e ver se sua pilha de segurança está cega.
Baixe o relatório
#samirnews #samir #news #boletimtec #o #ransomware #leaknet #usa #o #tempo #de #execução #clickfix #e #deno #em #ataques #furtivos
🎉 Obrigado por acompanhar, até a próxima notícia!
Postar um comentário