📰 Informação fresquinha chegando para você!
Leia, comente e fique sempre atualizado!
Apoie esse projeto de divulgacao de noticias! Clique aqui
O ator de ameaças alinhado ao Paquistão, conhecido como Transparent Tribe, tornou-se o mais recente grupo de hackers a adotar ferramentas de codificação alimentadas por inteligência artificial (IA) para atacar alvos com vários implantes.
A atividade é projetada para produzir uma “massa medíocre e de alto volume de implantes” que são desenvolvidos usando linguagens de programação menos conhecidas como Nim, Zig e Crystal e contam com serviços confiáveis como Slack, Discord, Supabase e Google Sheets para passar despercebidos, de acordo com novas descobertas do Bitdefender.
“Em vez de um avanço na sofisticação técnica, estamos vendo uma transição para a industrialização de malware assistida por IA que permite ao ator inundar ambientes alvo com binários poliglotas descartáveis”, disseram os pesquisadores de segurança Radu Tudorica, Adrian Schipor, Victor Vrabie, Marius Baciu e Martin Zugec, em um detalhamento técnico da campanha.
A transição para o malware codificado por vibração, também conhecido como vibeware, como meio de complicar a detecção, foi caracterizada pelo fornecedor romeno de segurança cibernética como Negação Distribuída de Detecção (DDoD). Nesta abordagem, a ideia não é evitar os esforços de detecção através de sofisticação técnica, mas sim inundar os ambientes alvo com binários descartáveis, cada um usando uma linguagem e protocolo de comunicação diferentes.
Os grandes modelos de linguagem (LLMs), que ajudam os intervenientes na ameaça, reduzem a barreira ao crime cibernético e colmatam a lacuna de conhecimentos, permitindo-lhes gerar código funcional em linguagens desconhecidas, quer a partir do zero, quer transferindo a lógica empresarial principal das mais comuns.
Descobriu-se que o último conjunto de ataques tinha como alvo o governo indiano e as suas embaixadas em vários países estrangeiros, com o APT36 a utilizar o LinkedIn para identificar alvos de alto valor. Os ataques também atingiram o governo afegão e várias empresas privadas, embora em menor grau.
As cadeias de infecção provavelmente começam com e-mails de phishing contendo atalhos do Windows (LNKs) agrupados em arquivos ZIP ou imagens ISO. Alternativamente, iscas de PDF com um botão proeminente "Baixar documento" são usadas para redirecionar os usuários para um site controlado pelo invasor que aciona o download dos mesmos arquivos ZIP.
Independentemente do método usado, o arquivo LNK é usado para executar scripts do PowerShell na memória, que então baixam e executam o backdoor principal e facilitam as ações pós-comprometimento. Estas incluem a implantação de ferramentas de simulação de adversários conhecidos, como Cobalt Strike e Havoc, indicando uma abordagem híbrida para garantir resiliência.
Algumas das outras ferramentas observadas como parte dos ataques estão listadas abaixo:
Warcode, um carregador de shellcode personalizado escrito em Crystal que é usado para carregar reflexivamente um agente Havoc diretamente na memória.
NimShellcodeLoader, uma contraparte experimental do Warcode que é usada para implantar um farol Cobalt Strike incorporado nele.
CreepDropper, um malware .NET usado para entregar e instalar cargas adicionais, incluindo SHEETCREEP, um infostealer baseado em Go que usa a API Microsoft Graph para C2, e MAILCREEP, um backdoor baseado em C# que utiliza Planilhas Google para C2. Ambas as famílias de malware foram detalhadas pelo Zscaler ThreatLabz em janeiro de 2026.
SupaServ, um backdoor baseado em Rust que estabelece um canal de comunicação primário por meio da plataforma Supabase, com o Firebase atuando como substituto. Ele contém emojis Unicode, sugerindo que provavelmente foi desenvolvido usando IA.
LuminousStealer, um provável infostealer baseado em Rust e codificado por vibração que usa Firebase e Google Drive para exfiltrar arquivos que correspondem a determinadas extensões (.txt, .docx, .pdf, .png, .jpg, .xlsx, .pptx, .zip, .rar, .doc e .xls).
CrystalShell, um backdoor escrito em Crystal que é capaz de atingir sistemas Windows, Linux e macOS e usa IDs de canal Discord codificados para C2. Ele oferece suporte à capacidade de executar comandos e coletar informações do host. Descobriu-se que uma variante do malware usa o Slack para C2.
ZigShell, uma contrapartida do CrystalShell escrito em Zig e que usa o Slack como sua infraestrutura C2 principal. Ele também oferece suporte a funcionalidades adicionais para upload e download de arquivos.
CrystalFile, um interpretador de comandos simples escrito em Crystal que monitora continuamente "C:\Users\Public\AccountPictures\input.txt" e executa o conteúdo usando "cmd.exe".
LuminousCookies, um injetor especializado baseado em Rust para exfiltrar cookies, senhas e informações de pagamento de navegadores baseados em Chromium, contornando a criptografia vinculada ao aplicativo.
BackupSpy, um utilitário baseado em Rust projetado para monitorar o sistema de arquivos local e mídia externa em busca de dados de alto valor.
ZigLoader, um carregador especializado escrito em Zig que descriptografa e executa shellcode arbitrário na memória.
Gate Sentinel Beacon, uma versão personalizada do projeto de estrutura GateSentinel C2 de código aberto.
"A transição do APT36 para o vibeware representa um avanço técnico
A atividade é projetada para produzir uma “massa medíocre e de alto volume de implantes” que são desenvolvidos usando linguagens de programação menos conhecidas como Nim, Zig e Crystal e contam com serviços confiáveis como Slack, Discord, Supabase e Google Sheets para passar despercebidos, de acordo com novas descobertas do Bitdefender.
“Em vez de um avanço na sofisticação técnica, estamos vendo uma transição para a industrialização de malware assistida por IA que permite ao ator inundar ambientes alvo com binários poliglotas descartáveis”, disseram os pesquisadores de segurança Radu Tudorica, Adrian Schipor, Victor Vrabie, Marius Baciu e Martin Zugec, em um detalhamento técnico da campanha.
A transição para o malware codificado por vibração, também conhecido como vibeware, como meio de complicar a detecção, foi caracterizada pelo fornecedor romeno de segurança cibernética como Negação Distribuída de Detecção (DDoD). Nesta abordagem, a ideia não é evitar os esforços de detecção através de sofisticação técnica, mas sim inundar os ambientes alvo com binários descartáveis, cada um usando uma linguagem e protocolo de comunicação diferentes.
Os grandes modelos de linguagem (LLMs), que ajudam os intervenientes na ameaça, reduzem a barreira ao crime cibernético e colmatam a lacuna de conhecimentos, permitindo-lhes gerar código funcional em linguagens desconhecidas, quer a partir do zero, quer transferindo a lógica empresarial principal das mais comuns.
Descobriu-se que o último conjunto de ataques tinha como alvo o governo indiano e as suas embaixadas em vários países estrangeiros, com o APT36 a utilizar o LinkedIn para identificar alvos de alto valor. Os ataques também atingiram o governo afegão e várias empresas privadas, embora em menor grau.
As cadeias de infecção provavelmente começam com e-mails de phishing contendo atalhos do Windows (LNKs) agrupados em arquivos ZIP ou imagens ISO. Alternativamente, iscas de PDF com um botão proeminente "Baixar documento" são usadas para redirecionar os usuários para um site controlado pelo invasor que aciona o download dos mesmos arquivos ZIP.
Independentemente do método usado, o arquivo LNK é usado para executar scripts do PowerShell na memória, que então baixam e executam o backdoor principal e facilitam as ações pós-comprometimento. Estas incluem a implantação de ferramentas de simulação de adversários conhecidos, como Cobalt Strike e Havoc, indicando uma abordagem híbrida para garantir resiliência.
Algumas das outras ferramentas observadas como parte dos ataques estão listadas abaixo:
Warcode, um carregador de shellcode personalizado escrito em Crystal que é usado para carregar reflexivamente um agente Havoc diretamente na memória.
NimShellcodeLoader, uma contraparte experimental do Warcode que é usada para implantar um farol Cobalt Strike incorporado nele.
CreepDropper, um malware .NET usado para entregar e instalar cargas adicionais, incluindo SHEETCREEP, um infostealer baseado em Go que usa a API Microsoft Graph para C2, e MAILCREEP, um backdoor baseado em C# que utiliza Planilhas Google para C2. Ambas as famílias de malware foram detalhadas pelo Zscaler ThreatLabz em janeiro de 2026.
SupaServ, um backdoor baseado em Rust que estabelece um canal de comunicação primário por meio da plataforma Supabase, com o Firebase atuando como substituto. Ele contém emojis Unicode, sugerindo que provavelmente foi desenvolvido usando IA.
LuminousStealer, um provável infostealer baseado em Rust e codificado por vibração que usa Firebase e Google Drive para exfiltrar arquivos que correspondem a determinadas extensões (.txt, .docx, .pdf, .png, .jpg, .xlsx, .pptx, .zip, .rar, .doc e .xls).
CrystalShell, um backdoor escrito em Crystal que é capaz de atingir sistemas Windows, Linux e macOS e usa IDs de canal Discord codificados para C2. Ele oferece suporte à capacidade de executar comandos e coletar informações do host. Descobriu-se que uma variante do malware usa o Slack para C2.
ZigShell, uma contrapartida do CrystalShell escrito em Zig e que usa o Slack como sua infraestrutura C2 principal. Ele também oferece suporte a funcionalidades adicionais para upload e download de arquivos.
CrystalFile, um interpretador de comandos simples escrito em Crystal que monitora continuamente "C:\Users\Public\AccountPictures\input.txt" e executa o conteúdo usando "cmd.exe".
LuminousCookies, um injetor especializado baseado em Rust para exfiltrar cookies, senhas e informações de pagamento de navegadores baseados em Chromium, contornando a criptografia vinculada ao aplicativo.
BackupSpy, um utilitário baseado em Rust projetado para monitorar o sistema de arquivos local e mídia externa em busca de dados de alto valor.
ZigLoader, um carregador especializado escrito em Zig que descriptografa e executa shellcode arbitrário na memória.
Gate Sentinel Beacon, uma versão personalizada do projeto de estrutura GateSentinel C2 de código aberto.
"A transição do APT36 para o vibeware representa um avanço técnico
Fonte: https://thehackernews.com
#samirnews #samir #news #boletimtec #transparent #tribe #usa #ia #para #produzir #implantes #de #malware #em #massa #em #campanha #direcionada #à #índia
🚀 Mais conteúdos incríveis estão por vir, fique atento!
Postar um comentário