📰 Informação fresquinha chegando para você!
Sua opinião é importante: leia e participe!
Apoie esse projeto de divulgacao de noticias! Clique aqui
A Equipe de Resposta a Emergências Informáticas da Ucrânia (CERT-UA) revelou detalhes de uma nova campanha que tem como alvo governos e instituições municipais de saúde, principalmente clínicas e hospitais de emergência, para fornecer malware capaz de roubar dados confidenciais de navegadores da web baseados em Chromium e WhatsApp.
A atividade, que foi observada entre março e abril de 2026, foi atribuída a um cluster de ameaças denominado UAC-0247. As origens da campanha são atualmente desconhecidas.
De acordo com o CERT-UA, o ponto de partida da cadeia de ataque é uma mensagem de e-mail que afirma ser uma proposta de ajuda humanitária, instando os destinatários a clicar em um link que redireciona para um site legítimo comprometido por uma vulnerabilidade de cross-site scripting (XSS) ou um site falso criado com a ajuda de ferramentas de inteligência artificial (IA).
Independentemente de qual seja o site, o objetivo é baixar e executar um arquivo de atalho do Windows (LNK), que então executa um aplicativo HTML remoto (HTA) usando o utilitário nativo do Windows, "mshta.exe". O arquivo HTA, por sua vez, exibe um formulário chamariz para desviar a atenção da vítima, ao mesmo tempo que busca um binário responsável por injetar shellcode em um processo legítimo (por exemplo, "runtimeBroker.exe").
"Ao mesmo tempo, campanhas recentes registraram o uso de um carregador de dois estágios, cujo segundo estágio é implementado usando um formato de arquivo executável proprietário (com suporte total para seções de código e dados, importação de funções de bibliotecas dinâmicas e realocação), e a carga final é adicionalmente compactada e criptografada", disse CERT-UA.
Um dos stagers é uma ferramenta chamada TCP reverse shell ou equivalente, rastreada como RAVENSHELL, que estabelece uma conexão TCP com um servidor de gerenciamento para receber comandos para execução no host usando "cmd.exe".
Também foi baixado na máquina infectada uma família de malware chamada AGINGFLY e um script do PowerShell conhecido como SILENTLOOP que vem com diversas funções para executar comandos, atualizar automaticamente a configuração e obter o endereço IP atual do servidor de gerenciamento de um canal do Telegram, além de recorrer a mecanismos alternativos para determinar o endereço de comando e controle (C2).
Desenvolvido em C#, AGINGFLY foi projetado para fornecer controle remoto dos sistemas afetados. Ele se comunica com um servidor C2 usando WebSockets para buscar comandos que permitem executar comandos, iniciar um keylogger, fazer download de arquivos e executar cargas adicionais.
Uma investigação de cerca de uma dúzia de incidentes revelou que esses ataques facilitam o reconhecimento, o movimento lateral e o roubo de credenciais e outros dados confidenciais do WhatsApp e de navegadores baseados no Chromium. Isso é conseguido com a implantação de várias ferramentas de código aberto, como as listadas abaixo:
ChromElevator, um programa projetado para ignorar as proteções de criptografia vinculada ao aplicativo (ABE) do Chromium e coletar cookies e senhas salvas
ZAPiXDESK, uma ferramenta de extração forense para descriptografar bancos de dados locais para WhatsApp Web
RustScan, um scanner de rede
Ligolo-Ng, um utilitário leve para estabelecer túneis a partir de conexões TCP/TLS reversas
Chisel, uma ferramenta para encapsular o tráfego de rede sobre TCP/UDP
XMRig, um minerador de criptomoedas
A agência disse que há evidências que sugerem que representantes das Forças de Defesa da Ucrânia também podem ter sido alvos como parte da campanha. Isso se baseia na distribuição de arquivos ZIP maliciosos via Signal, que são projetados para descartar o AGINGFLY usando a técnica de carregamento lateral de DLL.
Para mitigar o risco associado à ameaça e minimizar a superfície de ataque, é recomendável restringir a execução de arquivos LNK, HTA e JS, juntamente com utilitários legítimos, como "mshta.exe", "powershell.exe" e "wscript.exe".
A atividade, que foi observada entre março e abril de 2026, foi atribuída a um cluster de ameaças denominado UAC-0247. As origens da campanha são atualmente desconhecidas.
De acordo com o CERT-UA, o ponto de partida da cadeia de ataque é uma mensagem de e-mail que afirma ser uma proposta de ajuda humanitária, instando os destinatários a clicar em um link que redireciona para um site legítimo comprometido por uma vulnerabilidade de cross-site scripting (XSS) ou um site falso criado com a ajuda de ferramentas de inteligência artificial (IA).
Independentemente de qual seja o site, o objetivo é baixar e executar um arquivo de atalho do Windows (LNK), que então executa um aplicativo HTML remoto (HTA) usando o utilitário nativo do Windows, "mshta.exe". O arquivo HTA, por sua vez, exibe um formulário chamariz para desviar a atenção da vítima, ao mesmo tempo que busca um binário responsável por injetar shellcode em um processo legítimo (por exemplo, "runtimeBroker.exe").
"Ao mesmo tempo, campanhas recentes registraram o uso de um carregador de dois estágios, cujo segundo estágio é implementado usando um formato de arquivo executável proprietário (com suporte total para seções de código e dados, importação de funções de bibliotecas dinâmicas e realocação), e a carga final é adicionalmente compactada e criptografada", disse CERT-UA.
Um dos stagers é uma ferramenta chamada TCP reverse shell ou equivalente, rastreada como RAVENSHELL, que estabelece uma conexão TCP com um servidor de gerenciamento para receber comandos para execução no host usando "cmd.exe".
Também foi baixado na máquina infectada uma família de malware chamada AGINGFLY e um script do PowerShell conhecido como SILENTLOOP que vem com diversas funções para executar comandos, atualizar automaticamente a configuração e obter o endereço IP atual do servidor de gerenciamento de um canal do Telegram, além de recorrer a mecanismos alternativos para determinar o endereço de comando e controle (C2).
Desenvolvido em C#, AGINGFLY foi projetado para fornecer controle remoto dos sistemas afetados. Ele se comunica com um servidor C2 usando WebSockets para buscar comandos que permitem executar comandos, iniciar um keylogger, fazer download de arquivos e executar cargas adicionais.
Uma investigação de cerca de uma dúzia de incidentes revelou que esses ataques facilitam o reconhecimento, o movimento lateral e o roubo de credenciais e outros dados confidenciais do WhatsApp e de navegadores baseados no Chromium. Isso é conseguido com a implantação de várias ferramentas de código aberto, como as listadas abaixo:
ChromElevator, um programa projetado para ignorar as proteções de criptografia vinculada ao aplicativo (ABE) do Chromium e coletar cookies e senhas salvas
ZAPiXDESK, uma ferramenta de extração forense para descriptografar bancos de dados locais para WhatsApp Web
RustScan, um scanner de rede
Ligolo-Ng, um utilitário leve para estabelecer túneis a partir de conexões TCP/TLS reversas
Chisel, uma ferramenta para encapsular o tráfego de rede sobre TCP/UDP
XMRig, um minerador de criptomoedas
A agência disse que há evidências que sugerem que representantes das Forças de Defesa da Ucrânia também podem ter sido alvos como parte da campanha. Isso se baseia na distribuição de arquivos ZIP maliciosos via Signal, que são projetados para descartar o AGINGFLY usando a técnica de carregamento lateral de DLL.
Para mitigar o risco associado à ameaça e minimizar a superfície de ataque, é recomendável restringir a execução de arquivos LNK, HTA e JS, juntamente com utilitários legítimos, como "mshta.exe", "powershell.exe" e "wscript.exe".
Fonte: https://thehackernews.com
#samirnews #samir #news #boletimtec #uac0247 #tem #como #alvo #clínicas #e #governos #ucranianos #em #campanha #de #malware #para #roubo #de #dados
🎉 Obrigado por acompanhar, até a próxima notícia!
Postar um comentário