🚨 NOVA NOTÍCIA EM DESTAQUE! 🚨
Não deixe essa passar: clique e saiba tudo!
Apoie esse projeto de divulgacao de noticias! Clique aqui
Pesquisadores de segurança cibernética alertaram sobre uma campanha maliciosa ativa que tem como alvo a força de trabalho na República Tcheca com uma botnet anteriormente não documentada chamada PowMix desde pelo menos dezembro de 2025.
"O PowMix emprega intervalos de beaconing aleatórios de comando e controle (C2), em vez de conexão persistente com o servidor C2, para evitar as detecções de assinatura de rede", disse o pesquisador do Cisco Talos, Chetan Raghuprasad, em um relatório publicado hoje.
"O PowMix incorpora os dados criptografados de pulsação junto com identificadores exclusivos da máquina vítima nos caminhos de URL C2, imitando URLs legítimos da API REST. O PowMix tem a capacidade de atualizar remotamente o novo domínio C2 para o arquivo de configuração do botnet dinamicamente."
A cadeia de ataque começa com um arquivo ZIP malicioso, provavelmente entregue por meio de um e-mail de phishing, para ativar uma cadeia de infecção em vários estágios que descarta o PowMix. Especificamente, envolve um atalho do Windows (LNK) usado para iniciar um carregador do PowerShell, que extrai o malware incorporado ao arquivo, descriptografa-o e executa-o na memória.
O botnet nunca antes visto foi projetado para facilitar o acesso remoto, o reconhecimento e a execução remota de código, ao mesmo tempo que estabelece persistência por meio de uma tarefa agendada. Ao mesmo tempo, ele verifica a árvore de processos para garantir que outra instância do mesmo malware não esteja em execução no host comprometido.
A lógica de gerenciamento remoto do PowMix permite processar dois tipos diferentes de comandos enviados do servidor C2. Qualquer resposta sem prefixo # faz com que o PowMix mude para o modo de execução arbitrário e descriptografe e execute a carga obtida.
#KILL, para iniciar uma rotina de autoexclusão e limpar vestígios de todos os artefatos maliciosos
#HOST, para permitir a migração C2 para um novo URL de servidor.
Paralelamente, também abre um documento chamariz com iscas com tema de conformidade como mecanismo de distração. Os documentos de isca fazem referência a marcas legítimas como Edeka e incluem dados de remuneração e referências legislativas válidas, potencialmente em um esforço para aumentar sua credibilidade e enganar os destinatários, como aspirantes a empregos.
Talos disse que a campanha compartilha algum nível de sobreposição tática com uma campanha chamada ZipLine que foi divulgada pela Check Point no final de agosto de 2025 como tendo como alvo empresas de manufatura críticas para a cadeia de suprimentos com um malware na memória chamado MixShell.
Isso inclui o uso da mesma entrega de carga útil baseada em ZIP, persistência de tarefas agendadas e o abuso do Heroku para C2. Dito isso, nenhuma carga final foi observada além do próprio malware de botnet, deixando sem resposta questões sobre seus motivos exatos.
“O PowMix evita conexões persistentes com o servidor C2”, disse Talos. "Em vez disso, ele implementa um jitter por meio do comando Get-Random PowerShell para variar os intervalos de beacon inicialmente entre 0 e 261 segundos e, posteriormente, entre 1.075 e 1.450 segundos. Essa técnica tenta impedir a detecção de tráfego C2 por meio de assinaturas de rede previsíveis."
A divulgação ocorre no momento em que a Bitsight esclarece a cadeia de infecção associada ao botnet RondoDox, destacando as capacidades em evolução do malware para minerar criptomoedas ilicitamente em sistemas infectados usando XMRig, além da funcionalidade existente de ataque de negação de serviço distribuído (DDoS).
As descobertas mostram a imagem de um malware mantido ativamente que oferece evasão aprimorada, melhor resiliência, remoção agressiva da concorrência e um conjunto expandido de recursos.
RondoDox é capaz de explorar mais de 170 vulnerabilidades conhecidas em vários aplicativos voltados para a Internet para obter acesso inicial e descartar um script de shell que executa anti-análise básica e remove malware concorrente antes de descartar o binário botnet apropriado para a arquitetura.
O malware “faz múltiplas verificações e implementa técnicas para dificultar a análise, que incluem o uso de nanomites, renomear/remover arquivos, eliminar processos e verificar ativamente se há depuradores durante a execução”, disse João Godinho, principal pesquisador da Bitsight.
"O bot é capaz de executar ataques DoS na Internet, nas camadas de transporte e de aplicação, dependendo do comando e dos argumentos emitidos pelo C2."
"O PowMix emprega intervalos de beaconing aleatórios de comando e controle (C2), em vez de conexão persistente com o servidor C2, para evitar as detecções de assinatura de rede", disse o pesquisador do Cisco Talos, Chetan Raghuprasad, em um relatório publicado hoje.
"O PowMix incorpora os dados criptografados de pulsação junto com identificadores exclusivos da máquina vítima nos caminhos de URL C2, imitando URLs legítimos da API REST. O PowMix tem a capacidade de atualizar remotamente o novo domínio C2 para o arquivo de configuração do botnet dinamicamente."
A cadeia de ataque começa com um arquivo ZIP malicioso, provavelmente entregue por meio de um e-mail de phishing, para ativar uma cadeia de infecção em vários estágios que descarta o PowMix. Especificamente, envolve um atalho do Windows (LNK) usado para iniciar um carregador do PowerShell, que extrai o malware incorporado ao arquivo, descriptografa-o e executa-o na memória.
O botnet nunca antes visto foi projetado para facilitar o acesso remoto, o reconhecimento e a execução remota de código, ao mesmo tempo que estabelece persistência por meio de uma tarefa agendada. Ao mesmo tempo, ele verifica a árvore de processos para garantir que outra instância do mesmo malware não esteja em execução no host comprometido.
A lógica de gerenciamento remoto do PowMix permite processar dois tipos diferentes de comandos enviados do servidor C2. Qualquer resposta sem prefixo # faz com que o PowMix mude para o modo de execução arbitrário e descriptografe e execute a carga obtida.
#KILL, para iniciar uma rotina de autoexclusão e limpar vestígios de todos os artefatos maliciosos
#HOST, para permitir a migração C2 para um novo URL de servidor.
Paralelamente, também abre um documento chamariz com iscas com tema de conformidade como mecanismo de distração. Os documentos de isca fazem referência a marcas legítimas como Edeka e incluem dados de remuneração e referências legislativas válidas, potencialmente em um esforço para aumentar sua credibilidade e enganar os destinatários, como aspirantes a empregos.
Talos disse que a campanha compartilha algum nível de sobreposição tática com uma campanha chamada ZipLine que foi divulgada pela Check Point no final de agosto de 2025 como tendo como alvo empresas de manufatura críticas para a cadeia de suprimentos com um malware na memória chamado MixShell.
Isso inclui o uso da mesma entrega de carga útil baseada em ZIP, persistência de tarefas agendadas e o abuso do Heroku para C2. Dito isso, nenhuma carga final foi observada além do próprio malware de botnet, deixando sem resposta questões sobre seus motivos exatos.
“O PowMix evita conexões persistentes com o servidor C2”, disse Talos. "Em vez disso, ele implementa um jitter por meio do comando Get-Random PowerShell para variar os intervalos de beacon inicialmente entre 0 e 261 segundos e, posteriormente, entre 1.075 e 1.450 segundos. Essa técnica tenta impedir a detecção de tráfego C2 por meio de assinaturas de rede previsíveis."
A divulgação ocorre no momento em que a Bitsight esclarece a cadeia de infecção associada ao botnet RondoDox, destacando as capacidades em evolução do malware para minerar criptomoedas ilicitamente em sistemas infectados usando XMRig, além da funcionalidade existente de ataque de negação de serviço distribuído (DDoS).
As descobertas mostram a imagem de um malware mantido ativamente que oferece evasão aprimorada, melhor resiliência, remoção agressiva da concorrência e um conjunto expandido de recursos.
RondoDox é capaz de explorar mais de 170 vulnerabilidades conhecidas em vários aplicativos voltados para a Internet para obter acesso inicial e descartar um script de shell que executa anti-análise básica e remove malware concorrente antes de descartar o binário botnet apropriado para a arquitetura.
O malware “faz múltiplas verificações e implementa técnicas para dificultar a análise, que incluem o uso de nanomites, renomear/remover arquivos, eliminar processos e verificar ativamente se há depuradores durante a execução”, disse João Godinho, principal pesquisador da Bitsight.
"O bot é capaz de executar ataques DoS na Internet, nas camadas de transporte e de aplicação, dependendo do comando e dos argumentos emitidos pelo C2."
Fonte: https://thehackernews.com
#samirnews #samir #news #boletimtec #botnet #powmix #recémdescoberto #atinge #trabalhadores #tchecos #usando #tráfego #c2 #randomizado
🔔 Siga-nos para não perder nenhuma atualização!
Postar um comentário