📰 Informação fresquinha chegando para você!
Confira agora e compartilhe com seus amigos!
Apoie esse projeto de divulgacao de noticias! Clique aqui
A Proofpoint divulgou detalhes de uma campanha de e-mail direcionada na qual agentes de ameaças com ligações com a Rússia estão aproveitando o recentemente divulgado kit de exploração DarkSword para atingir dispositivos iOS.
A atividade foi atribuída com grande confiança ao grupo de ameaças patrocinado pelo Estado russo conhecido como TA446, que também é rastreado pela comunidade mais ampla de segurança cibernética sob os nomes Callisto, COLDRIVER e Star Blizzard (anteriormente SEABORGIUM). É avaliado como afiliado ao Serviço Federal de Segurança da Rússia (FSB).
O grupo de hackers é conhecido por campanhas de spear-phishing destinadas a coletar credenciais de alvos de interesse. No entanto, os ataques montados pelo agente da ameaça no ano passado tiveram como alvo as contas do WhatsApp das vítimas, bem como aproveitaram várias famílias de malware personalizadas para roubar dados confidenciais.
A atividade mais recente, destacada pela Proofpoint e Malfors, envolve o uso de e-mails falsos de “convite para discussão” falsificando o Atlantic Council para facilitar a entrega do GHOSTBLADE, um malware dataminer, por meio do kit de exploração DarkSword. Os e-mails foram enviados de remetentes comprometidos em 26 de março de 2026. Um dos destinatários do e-mail foi Leonid Volkov, um proeminente político da oposição russa e diretor político da Fundação Anticorrupção.
Diz-se que uma análise automatizada acionada pelas ferramentas de segurança da Proofpoint foi redirecionada para um documento PDF isca benigno, provavelmente por causa da filtragem do lado do servidor implementada para levar apenas os navegadores do iPhone ao kit de exploração.
“Não observamos anteriormente o TA446 ter como alvo contas iCloud de usuários ou dispositivos Apple, mas a adoção do kit de exploração DarkSword iOS vazado agora permitiu ao ator atingir dispositivos iOS”, disse Proofpoint.
A empresa de segurança corporativa também observou que o volume de e-mails do autor da ameaça foi “significativamente maior” nas últimas duas semanas, acrescentando que esses ataques levam à implantação de um backdoor conhecido como MAYBEROBOT por meio de arquivos ZIP protegidos por senha.
O uso do DarkSword pelo grupo também foi corroborado pelo fato de que um carregador DarkSword carregado no VirusTotal fez referência a “escofiringbijou[.]com”, um domínio de segundo estágio atribuído ao ator da ameaça.
Um resultado urlscan[.]io revelou que o domínio controlado pelo TA446 serviu o kit de exploração DarkSword, incluindo o redirecionador inicial, carregador de exploração, execução remota de código e componentes de desvio de código de autenticação de ponteiro (PAC). No entanto, não há evidências de que os escapes da sandbox tenham sido entregues.
Suspeita-se que o TA446 esteja redirecionando o kit de exploração DarkSword para coleta de credenciais e coleta de inteligência, com a Proofpoint observando que a segmentação observada na campanha de e-mail era “muito mais ampla do que o normal” e incluía governo, think tank, ensino superior, financeiro e entidades legais.
Isto, por sua vez, levantou a possibilidade de o agente da ameaça estar a aproveitar a nova capacidade proporcionada pelo DarkSword como parte de uma campanha oportunista contra um conjunto de alvos mais amplo.
O desenvolvimento ocorre no momento em que a Apple começa a enviar notificações de tela de bloqueio para iPhones e iPads que executam versões mais antigas do iOS e iPadOS para alertar os usuários sobre ataques baseados na web e instá-los a instalar a atualização para bloquear a ameaça. A medida incomum sinaliza que a empresa a está tratando como uma ameaça ampla o suficiente que requer atenção imediata dos usuários.
O alerta da Apple também coincide com o vazamento de uma nova versão do DarkSword no GitHub, levantando preocupações de que eles poderiam democratizar o acesso a explorações de estados-nação, mudando fundamentalmente o cenário de ameaças móveis.
Justin Albrecht, pesquisador principal da Lookout, disse que a versão plug-and-play vazada permite que até mesmo agentes de ameaças não qualificados implantem o kit avançado de espionagem para iOS, transformando-o em malware comum.
“O DarkSword refuta a crença comum de que os iPhones são imunes a ameaças cibernéticas e que os ataques móveis avançados são usados apenas em esforços direcionados contra governos e funcionários de alto escalão”, acrescentou Albrecht.
A atividade foi atribuída com grande confiança ao grupo de ameaças patrocinado pelo Estado russo conhecido como TA446, que também é rastreado pela comunidade mais ampla de segurança cibernética sob os nomes Callisto, COLDRIVER e Star Blizzard (anteriormente SEABORGIUM). É avaliado como afiliado ao Serviço Federal de Segurança da Rússia (FSB).
O grupo de hackers é conhecido por campanhas de spear-phishing destinadas a coletar credenciais de alvos de interesse. No entanto, os ataques montados pelo agente da ameaça no ano passado tiveram como alvo as contas do WhatsApp das vítimas, bem como aproveitaram várias famílias de malware personalizadas para roubar dados confidenciais.
A atividade mais recente, destacada pela Proofpoint e Malfors, envolve o uso de e-mails falsos de “convite para discussão” falsificando o Atlantic Council para facilitar a entrega do GHOSTBLADE, um malware dataminer, por meio do kit de exploração DarkSword. Os e-mails foram enviados de remetentes comprometidos em 26 de março de 2026. Um dos destinatários do e-mail foi Leonid Volkov, um proeminente político da oposição russa e diretor político da Fundação Anticorrupção.
Diz-se que uma análise automatizada acionada pelas ferramentas de segurança da Proofpoint foi redirecionada para um documento PDF isca benigno, provavelmente por causa da filtragem do lado do servidor implementada para levar apenas os navegadores do iPhone ao kit de exploração.
“Não observamos anteriormente o TA446 ter como alvo contas iCloud de usuários ou dispositivos Apple, mas a adoção do kit de exploração DarkSword iOS vazado agora permitiu ao ator atingir dispositivos iOS”, disse Proofpoint.
A empresa de segurança corporativa também observou que o volume de e-mails do autor da ameaça foi “significativamente maior” nas últimas duas semanas, acrescentando que esses ataques levam à implantação de um backdoor conhecido como MAYBEROBOT por meio de arquivos ZIP protegidos por senha.
O uso do DarkSword pelo grupo também foi corroborado pelo fato de que um carregador DarkSword carregado no VirusTotal fez referência a “escofiringbijou[.]com”, um domínio de segundo estágio atribuído ao ator da ameaça.
Um resultado urlscan[.]io revelou que o domínio controlado pelo TA446 serviu o kit de exploração DarkSword, incluindo o redirecionador inicial, carregador de exploração, execução remota de código e componentes de desvio de código de autenticação de ponteiro (PAC). No entanto, não há evidências de que os escapes da sandbox tenham sido entregues.
Suspeita-se que o TA446 esteja redirecionando o kit de exploração DarkSword para coleta de credenciais e coleta de inteligência, com a Proofpoint observando que a segmentação observada na campanha de e-mail era “muito mais ampla do que o normal” e incluía governo, think tank, ensino superior, financeiro e entidades legais.
Isto, por sua vez, levantou a possibilidade de o agente da ameaça estar a aproveitar a nova capacidade proporcionada pelo DarkSword como parte de uma campanha oportunista contra um conjunto de alvos mais amplo.
O desenvolvimento ocorre no momento em que a Apple começa a enviar notificações de tela de bloqueio para iPhones e iPads que executam versões mais antigas do iOS e iPadOS para alertar os usuários sobre ataques baseados na web e instá-los a instalar a atualização para bloquear a ameaça. A medida incomum sinaliza que a empresa a está tratando como uma ameaça ampla o suficiente que requer atenção imediata dos usuários.
O alerta da Apple também coincide com o vazamento de uma nova versão do DarkSword no GitHub, levantando preocupações de que eles poderiam democratizar o acesso a explorações de estados-nação, mudando fundamentalmente o cenário de ameaças móveis.
Justin Albrecht, pesquisador principal da Lookout, disse que a versão plug-and-play vazada permite que até mesmo agentes de ameaças não qualificados implantem o kit avançado de espionagem para iOS, transformando-o em malware comum.
“O DarkSword refuta a crença comum de que os iPhones são imunes a ameaças cibernéticas e que os ataques móveis avançados são usados apenas em esforços direcionados contra governos e funcionários de alto escalão”, acrescentou Albrecht.
Fonte: https://thehackernews.com
#samirnews #samir #news #boletimtec #ta446 #implanta #kit #de #exploração #darksword #ios #em #campanha #direcionada #de #spearphishing
⚡ Fique ligado: novidades e promoções em breve por aqui! ⚡
Postar um comentário