🔥 Fique por dentro das novidades mais quentes do momento! 🔥
Confira agora e compartilhe com seus amigos!
Apoie esse projeto de divulgacao de noticias! Clique aqui
A Microsoft está chamando a atenção para uma nova campanha que aproveitou mensagens do WhatsApp para distribuir arquivos maliciosos do Visual Basic Script (VBS).
A atividade, que começa no final de fevereiro de 2026, aproveita estes scripts para iniciar uma cadeia de infecção em vários estágios para estabelecer persistência e permitir o acesso remoto. Atualmente não se sabe o que atrai os agentes da ameaça para induzir os usuários a executar os scripts.
“A campanha depende de uma combinação de engenharia social e técnicas de vida fora da terra”, disse a equipe de pesquisa de segurança do Microsoft Defender. “Ele usa utilitários renomeados do Windows para se misturar à atividade normal do sistema, recupera cargas de serviços de nuvem confiáveis, como AWS, Tencent Cloud e Backblaze B2, e instala pacotes maliciosos do Microsoft Installer (MSI) para manter o controle do sistema.”
O uso de ferramentas legÃtimas e plataformas confiáveis é uma combinação mortal, pois permite que os agentes de ameaças se misturem à atividade normal da rede e aumentem a probabilidade de sucesso de seus ataques.
A atividade começa com os invasores distribuindo arquivos VBS maliciosos por meio de mensagens do WhatsApp que, quando executadas, criam pastas ocultas em "C:\ProgramData" e descartam versões renomeadas de utilitários legÃtimos do Windows, como "curl.exe" (renomeado como "netapi.dll") e "bitsadmin.exe" (renomeado como "sc.exe").
Ao obter uma posição inicial, os invasores pretendem estabelecer persistência e aumentar os privilégios e, em última análise, instalar pacotes MSI maliciosos nos sistemas das vÃtimas. Isso é conseguido baixando arquivos VBS auxiliares hospedados em AWS S3, Tencent Cloud e Backblaze B2 usando os binários renomeados.
“Uma vez instaladas as cargas secundárias, o malware começa a interferir nas configurações do Controle de Conta de Usuário (UAC) para enfraquecer as defesas do sistema”, disse Redmond. "Ele tenta continuamente iniciar o cmd.exe com privilégios elevados, tentando novamente até que a elevação do UAC seja bem-sucedida ou o processo seja encerrado à força, modificando as entradas do registro em HKLM\Software\Microsoft\Win e incorporando mecanismos de persistência para garantir que a infecção sobreviva à s reinicializações do sistema."
Essas ações permitem que os agentes da ameaça obtenham privilégios elevados sem interação do usuário por meio de uma combinação de manipulação de registro com técnicas de desvio de UAC e, por fim, implantem instaladores MSI não assinados. Isso inclui ferramentas legÃtimas como AnyDesk, que fornecem aos invasores acesso remoto persistente, permitindo que os invasores exfiltrem dados ou implantem mais malware.
“Esta campanha demonstra uma sofisticada cadeia de infecção que combina engenharia social (entrega de WhatsApp), técnicas furtivas (ferramentas legÃtimas renomeadas, atributos ocultos) e hospedagem de carga útil baseada em nuvem”, disse a Microsoft.
A atividade, que começa no final de fevereiro de 2026, aproveita estes scripts para iniciar uma cadeia de infecção em vários estágios para estabelecer persistência e permitir o acesso remoto. Atualmente não se sabe o que atrai os agentes da ameaça para induzir os usuários a executar os scripts.
“A campanha depende de uma combinação de engenharia social e técnicas de vida fora da terra”, disse a equipe de pesquisa de segurança do Microsoft Defender. “Ele usa utilitários renomeados do Windows para se misturar à atividade normal do sistema, recupera cargas de serviços de nuvem confiáveis, como AWS, Tencent Cloud e Backblaze B2, e instala pacotes maliciosos do Microsoft Installer (MSI) para manter o controle do sistema.”
O uso de ferramentas legÃtimas e plataformas confiáveis é uma combinação mortal, pois permite que os agentes de ameaças se misturem à atividade normal da rede e aumentem a probabilidade de sucesso de seus ataques.
A atividade começa com os invasores distribuindo arquivos VBS maliciosos por meio de mensagens do WhatsApp que, quando executadas, criam pastas ocultas em "C:\ProgramData" e descartam versões renomeadas de utilitários legÃtimos do Windows, como "curl.exe" (renomeado como "netapi.dll") e "bitsadmin.exe" (renomeado como "sc.exe").
Ao obter uma posição inicial, os invasores pretendem estabelecer persistência e aumentar os privilégios e, em última análise, instalar pacotes MSI maliciosos nos sistemas das vÃtimas. Isso é conseguido baixando arquivos VBS auxiliares hospedados em AWS S3, Tencent Cloud e Backblaze B2 usando os binários renomeados.
“Uma vez instaladas as cargas secundárias, o malware começa a interferir nas configurações do Controle de Conta de Usuário (UAC) para enfraquecer as defesas do sistema”, disse Redmond. "Ele tenta continuamente iniciar o cmd.exe com privilégios elevados, tentando novamente até que a elevação do UAC seja bem-sucedida ou o processo seja encerrado à força, modificando as entradas do registro em HKLM\Software\Microsoft\Win e incorporando mecanismos de persistência para garantir que a infecção sobreviva à s reinicializações do sistema."
Essas ações permitem que os agentes da ameaça obtenham privilégios elevados sem interação do usuário por meio de uma combinação de manipulação de registro com técnicas de desvio de UAC e, por fim, implantem instaladores MSI não assinados. Isso inclui ferramentas legÃtimas como AnyDesk, que fornecem aos invasores acesso remoto persistente, permitindo que os invasores exfiltrem dados ou implantem mais malware.
“Esta campanha demonstra uma sofisticada cadeia de infecção que combina engenharia social (entrega de WhatsApp), técnicas furtivas (ferramentas legÃtimas renomeadas, atributos ocultos) e hospedagem de carga útil baseada em nuvem”, disse a Microsoft.
Fonte: https://thehackernews.com
#samirnews #samir #news #boletimtec #microsoft #alerta #sobre #malware #vbs #entregue #pelo #whatsapp #sequestrando #o #windows #via #uac #bypass
⚡ Fique ligado: novidades e promoções em breve por aqui! ⚡
Postar um comentário