📰 Informação fresquinha chegando para você!
Leia, comente e fique sempre atualizado!
Apoie esse projeto de divulgacao de noticias! Clique aqui
Os hackers contataram funcionários de organizações financeiras e de saúde pelo Microsoft Teams para induzi-los a conceder acesso remoto por meio do Quick Assist e implantar um novo malware chamado A0Backdoor.
O invasor depende da engenharia social para ganhar a confiança do funcionário, primeiro inundando sua caixa de entrada com spam e depois contatando-o pelo Teams, fingindo ser a equipe de TI da empresa, oferecendo assistência com as mensagens indesejadas.
Para obter acesso à máquina alvo, o agente da ameaça instrui o usuário a iniciar uma sessão remota do Quick Assist, que é usada para implantar um conjunto de ferramentas maliciosas que inclui instaladores MSI assinados digitalmente e hospedados em uma conta pessoal de armazenamento em nuvem da Microsoft.
De acordo com pesquisadores da empresa de segurança cibernética BlueVoyant, os arquivos MSI maliciosos se disfarçam como componentes do Microsoft Teams e do CrossDeviceService, uma ferramenta legítima do Windows usada pelo aplicativo Phone Link.
Argumento de linha de comando para instalar o CrossDeviceService.exe maliciosoFonte: BlueVoyant
Usando a técnica de sideload de DLL com binários legítimos da Microsoft, o invasor implanta uma biblioteca maliciosa (hostfxr.dll) que contém dados compactados ou criptografados. Uma vez carregada na memória, a biblioteca descriptografa os dados em shellcode e transfere a execução para ele.
Os pesquisadores afirmam que a biblioteca maliciosa também usa a função CreateThread para impedir análises. BlueVoyant explica que a criação excessiva de threads pode causar falha no depurador, mas não tem um impacto significativo na execução normal.
O shellcode realiza a detecção de sandbox e, em seguida, gera uma chave derivada de SHA-256, que é usada para extrair o A0Backdoor, que é criptografado usando o algoritmo AES.
Carga útil criptografada no shellcodeFonte: BlueVoyant
O malware se desloca para uma nova região de memória, descriptografa suas rotinas principais e depende de chamadas de API do Windows (por exemplo, DeviceIoControl, GetUserNameExW e GetComputerNameW) para coletar informações sobre o host e imprimir suas impressões digitais.
A comunicação com o comando e controle (C2) fica oculta no tráfego DNS, com o malware enviando consultas DNS MX com metadados codificados em subdomínios de alta entropia para resolvedores recursivos públicos. Os servidores DNS respondem com registros MX contendo dados de comando codificados.
Comunicação DNS capturadaFonte: BlueVoyant
“O malware extrai e decodifica o rótulo mais à esquerda para recuperar dados de comando/configuração e, em seguida, prossegue de acordo”, explica BlueVoyant.
“O uso de registros DNS MX ajuda a misturar o tráfego e pode evitar controles ajustados para detectar tunelamento DNS baseado em TXT, que pode ser monitorado com mais frequência.”
BlueVoyant afirma que dois dos alvos desta campanha são uma instituição financeira no Canadá e uma organização global de saúde.
Os pesquisadores avaliam com confiança moderada a alta que a campanha é uma evolução de táticas, técnicas e procedimentos associados à gangue de ransomware BlackBasta, que se dissolveu após o vazamento dos registros de bate-papo internos da operação.
Embora existam muitas sobreposições, a BlueVoyant observa que o uso de MSIs assinados e DLLs maliciosas, a carga útil A0Backdoor e o uso de comunicação C2 baseada em DNS MX são elementos novos.
Red Report 2026: Por que a criptografia de ransomware caiu 38%
O malware está ficando mais inteligente. O Red Report 2026 revela como novas ameaças usam matemática para detectar sandboxes e se esconder à vista de todos. Baixe nossa análise de 1,1 milhão de amostras maliciosas para descobrir as 10 principais técnicas e ver se sua pilha de segurança está cega.
Baixe o relatório
O invasor depende da engenharia social para ganhar a confiança do funcionário, primeiro inundando sua caixa de entrada com spam e depois contatando-o pelo Teams, fingindo ser a equipe de TI da empresa, oferecendo assistência com as mensagens indesejadas.
Para obter acesso à máquina alvo, o agente da ameaça instrui o usuário a iniciar uma sessão remota do Quick Assist, que é usada para implantar um conjunto de ferramentas maliciosas que inclui instaladores MSI assinados digitalmente e hospedados em uma conta pessoal de armazenamento em nuvem da Microsoft.
De acordo com pesquisadores da empresa de segurança cibernética BlueVoyant, os arquivos MSI maliciosos se disfarçam como componentes do Microsoft Teams e do CrossDeviceService, uma ferramenta legítima do Windows usada pelo aplicativo Phone Link.
Argumento de linha de comando para instalar o CrossDeviceService.exe maliciosoFonte: BlueVoyant
Usando a técnica de sideload de DLL com binários legítimos da Microsoft, o invasor implanta uma biblioteca maliciosa (hostfxr.dll) que contém dados compactados ou criptografados. Uma vez carregada na memória, a biblioteca descriptografa os dados em shellcode e transfere a execução para ele.
Os pesquisadores afirmam que a biblioteca maliciosa também usa a função CreateThread para impedir análises. BlueVoyant explica que a criação excessiva de threads pode causar falha no depurador, mas não tem um impacto significativo na execução normal.
O shellcode realiza a detecção de sandbox e, em seguida, gera uma chave derivada de SHA-256, que é usada para extrair o A0Backdoor, que é criptografado usando o algoritmo AES.
Carga útil criptografada no shellcodeFonte: BlueVoyant
O malware se desloca para uma nova região de memória, descriptografa suas rotinas principais e depende de chamadas de API do Windows (por exemplo, DeviceIoControl, GetUserNameExW e GetComputerNameW) para coletar informações sobre o host e imprimir suas impressões digitais.
A comunicação com o comando e controle (C2) fica oculta no tráfego DNS, com o malware enviando consultas DNS MX com metadados codificados em subdomínios de alta entropia para resolvedores recursivos públicos. Os servidores DNS respondem com registros MX contendo dados de comando codificados.
Comunicação DNS capturadaFonte: BlueVoyant
“O malware extrai e decodifica o rótulo mais à esquerda para recuperar dados de comando/configuração e, em seguida, prossegue de acordo”, explica BlueVoyant.
“O uso de registros DNS MX ajuda a misturar o tráfego e pode evitar controles ajustados para detectar tunelamento DNS baseado em TXT, que pode ser monitorado com mais frequência.”
BlueVoyant afirma que dois dos alvos desta campanha são uma instituição financeira no Canadá e uma organização global de saúde.
Os pesquisadores avaliam com confiança moderada a alta que a campanha é uma evolução de táticas, técnicas e procedimentos associados à gangue de ransomware BlackBasta, que se dissolveu após o vazamento dos registros de bate-papo internos da operação.
Embora existam muitas sobreposições, a BlueVoyant observa que o uso de MSIs assinados e DLLs maliciosas, a carga útil A0Backdoor e o uso de comunicação C2 baseada em DNS MX são elementos novos.
Red Report 2026: Por que a criptografia de ransomware caiu 38%
O malware está ficando mais inteligente. O Red Report 2026 revela como novas ameaças usam matemática para detectar sandboxes e se esconder à vista de todos. Baixe nossa análise de 1,1 milhão de amostras maliciosas para descobrir as 10 principais técnicas e ver se sua pilha de segurança está cega.
Baixe o relatório
#samirnews #samir #news #boletimtec #phishing #do #microsoft #teams #tem #como #alvo #funcionários #com #malware #a0backdoor
🔔 Siga-nos para não perder nenhuma atualização!
Postar um comentário