📰 Informação fresquinha chegando para você!
Confira agora e compartilhe com seus amigos!
Apoie esse projeto de divulgacao de noticias! Clique aqui
A Equipe de Resposta a Emergências Informáticas da Ucrânia (CERT-UA) divulgou detalhes de uma nova campanha de phishing na qual a própria agência de segurança cibernética se fez passar por uma ferramenta de administração remota conhecida como AGEWHEEZE.
Como parte dos ataques, os agentes da ameaça, rastreados como UAC-0255, enviaram e-mails em 26 e 27 de março de 2026, fazendo-se passar por CERT-UA para distribuir um arquivo ZIP protegido por senha hospedado em Files.fm e instaram os destinatários a instalar o “software especializado”.
Os alvos da campanha incluíram organizações estatais, centros médicos, empresas de segurança, instituições educacionais, instituições financeiras e empresas de desenvolvimento de software. Alguns dos e-mails foram enviados do endereço de e-mail “incidents@cert-ua[.]tech”.
O arquivo ZIP ("CERT_UA_protection_tool.zip") foi projetado para baixar malware empacotado como software de segurança da agência. O malware, de acordo com o CERT-UA, é um trojan de acesso remoto com o codinome AGEWHEEZE.
Um malware baseado em Go, AGEWHEEZE se comunica com um servidor externo ("54.36.237[.]92") por meio de WebSockets e oferece suporte a uma ampla variedade de comandos para executar comandos, realizar operações de arquivo, modificar a área de transferência, emular mouse e teclado, fazer capturas de tela e gerenciar processos e serviços. Ele também cria persistência usando uma tarefa agendada, modificando o Registro do Windows ou adicionando-se ao diretório de inicialização.
O ataque foi avaliado como tendo sido em grande parte malsucedido. “Não foram identificados mais do que alguns dispositivos pessoais infectados pertencentes a funcionários de instituições educacionais de diversas formas de propriedade”, disse a agência. “Os especialistas da equipe prestaram a assistência metodológica e prática necessária”.
Uma análise do site falso "cert-ua[.]tech" revelou que ele provavelmente foi gerado com a ajuda de ferramentas de inteligência artificial (IA), com o código-fonte HTML também incluindo um comentário: "С Любовью, КИБЕР СЕРП", que significa "Com amor, CYBER SERP".
Em postagens no Telegram, o Cyber Serp afirma que eles são “agentes ciber-subterrâneos da Ucrânia”. O canal Telegram foi criado em novembro de 2025 e conta com mais de 700 inscritos.
O ator da ameaça também disse que os e-mails de phishing foram enviados para 1 milhão de caixas de correio ukr[.]net como parte da campanha e que mais de 200.000 dispositivos foram comprometidos. “Não somos bandidos – o cidadão ucraniano médio nunca sofrerá como resultado das nossas ações”, afirmou num post.
No mês passado, a Cyber Serp assumiu a responsabilidade por uma suposta violação da empresa ucraniana de segurança cibernética Cipher, afirmando que obteve um despejo completo dos servidores, incluindo um banco de dados de clientes e código-fonte para sua linha de produtos CIPS, entre outros.
Em comunicado publicado em seu site, a Cipher reconheceu que os invasores comprometeram as credenciais de um funcionário de uma de suas empresas de tecnologia, mas disse que sua infraestrutura estava operando normalmente. O usuário infectado teve acesso a um único projeto, que não continha dados confidenciais, acrescentou.
Como parte dos ataques, os agentes da ameaça, rastreados como UAC-0255, enviaram e-mails em 26 e 27 de março de 2026, fazendo-se passar por CERT-UA para distribuir um arquivo ZIP protegido por senha hospedado em Files.fm e instaram os destinatários a instalar o “software especializado”.
Os alvos da campanha incluíram organizações estatais, centros médicos, empresas de segurança, instituições educacionais, instituições financeiras e empresas de desenvolvimento de software. Alguns dos e-mails foram enviados do endereço de e-mail “incidents@cert-ua[.]tech”.
O arquivo ZIP ("CERT_UA_protection_tool.zip") foi projetado para baixar malware empacotado como software de segurança da agência. O malware, de acordo com o CERT-UA, é um trojan de acesso remoto com o codinome AGEWHEEZE.
Um malware baseado em Go, AGEWHEEZE se comunica com um servidor externo ("54.36.237[.]92") por meio de WebSockets e oferece suporte a uma ampla variedade de comandos para executar comandos, realizar operações de arquivo, modificar a área de transferência, emular mouse e teclado, fazer capturas de tela e gerenciar processos e serviços. Ele também cria persistência usando uma tarefa agendada, modificando o Registro do Windows ou adicionando-se ao diretório de inicialização.
O ataque foi avaliado como tendo sido em grande parte malsucedido. “Não foram identificados mais do que alguns dispositivos pessoais infectados pertencentes a funcionários de instituições educacionais de diversas formas de propriedade”, disse a agência. “Os especialistas da equipe prestaram a assistência metodológica e prática necessária”.
Uma análise do site falso "cert-ua[.]tech" revelou que ele provavelmente foi gerado com a ajuda de ferramentas de inteligência artificial (IA), com o código-fonte HTML também incluindo um comentário: "С Любовью, КИБЕР СЕРП", que significa "Com amor, CYBER SERP".
Em postagens no Telegram, o Cyber Serp afirma que eles são “agentes ciber-subterrâneos da Ucrânia”. O canal Telegram foi criado em novembro de 2025 e conta com mais de 700 inscritos.
O ator da ameaça também disse que os e-mails de phishing foram enviados para 1 milhão de caixas de correio ukr[.]net como parte da campanha e que mais de 200.000 dispositivos foram comprometidos. “Não somos bandidos – o cidadão ucraniano médio nunca sofrerá como resultado das nossas ações”, afirmou num post.
No mês passado, a Cyber Serp assumiu a responsabilidade por uma suposta violação da empresa ucraniana de segurança cibernética Cipher, afirmando que obteve um despejo completo dos servidores, incluindo um banco de dados de clientes e código-fonte para sua linha de produtos CIPS, entre outros.
Em comunicado publicado em seu site, a Cipher reconheceu que os invasores comprometeram as credenciais de um funcionário de uma de suas empresas de tecnologia, mas disse que sua infraestrutura estava operando normalmente. O usuário infectado teve acesso a um único projeto, que não continha dados confidenciais, acrescentou.
Fonte: https://thehackernews.com
#samirnews #samir #news #boletimtec #campanha #de #falsificação #de #identidade #da #certua #espalha #malware #agewheeze #para #1 #milhão #de #emails
🔔 Siga-nos para não perder nenhuma atualização!
Postar um comentário