🚨 NOVA NOTÍCIA EM DESTAQUE! 🚨
A notícia que você procurava está aqui!
Apoie esse projeto de divulgacao de noticias! Clique aqui
O ator de ameaça alinhado à Bielorrússia conhecido como Ghostwriter (também conhecido como UAC-0057 e Conselho Nacional de Segurança e Defesa da Ucrânia UNC1151) foi observado usando iscas relacionadas ao Prometheus, uma plataforma de aprendizagem online ucraniana, para atingir organizações governamentais no país.
A atividade, de acordo com a Equipe de Resposta a Emergências Informáticas da Ucrânia (CERT-UA), envolve o envio de e-mails de phishing para entidades governamentais usando contas comprometidas. Está ativo desde a primavera de 2026.
“Normalmente, o e-mail contém um anexo em PDF com um link que, quando clicado, leva ao download de um arquivo ZIP contendo um arquivo JavaScript”, disse a agência em relatório de quinta-feira.
O arquivo JavaScript, apelidado de OYSTERFRESH, foi projetado para exibir um documento chamariz como um mecanismo de distração, enquanto grava furtivamente uma carga ofuscada e criptografada chamada OYSTERBLUES no Registro do Windows, bem como baixa e inicia o OYSTERSHUCK, que é responsável pela decodificação do OYSTERBLUES.
O OYSTERBLUES está equipado para coletar uma ampla gama de informações do sistema, incluindo nome do computador, conta de usuário, versão do sistema operacional, hora da última inicialização do sistema operacional e uma lista de processos em execução. Os dados coletados são enviados para um servidor de comando e controle (C2) por meio de uma solicitação HTTP POST.
Em seguida, ele aguarda novas respostas contendo o código JavaScript do próximo estágio, que é executado usando a função eval(). A carga útil final é avaliada como Cobalt Strike, uma estrutura de simulação de adversário que é amplamente utilizada em atividades pós-exploração.
“Para reduzir a probabilidade de exploração desta ameaça cibernética, é aconselhável aplicar abordagens básicas conhecidas para reduzir a superfície de ataque, especificamente restringindo a capacidade de executar wscript.exe para contas de usuário padrão”, disse CERT-UA.
A divulgação ocorre no momento em que o Conselho Nacional de Segurança e Defesa da Ucrânia revela o uso pela Rússia de ferramentas de inteligência artificial (IA), como OpenAI ChatGPT e Google Gemini, para explorar alvos e incorporar a tecnologia em malware para gerar comandos maliciosos em tempo de execução, enquanto convoca grupos de hackers apoiados pelo Kremlin para realizar ataques cibernéticos focados na obtenção de inteligência e na garantia de uma presença de longo prazo em redes comprometidas para exploração subsequente, inclusive para apoiar operações de influência.
“Os principais vetores de penetração inicial em 2025 foram a engenharia social, a exploração de vulnerabilidades, a utilização de contas RDP e VPN comprometidas, os ataques às cadeias de abastecimento e a utilização de software não licenciado que já contém backdoors integrados na fase de instalação”, afirmou o Conselho. “Os invasores se concentraram em roubar informações confidenciais, interceptar comunicações e rastrear a localização dos alvos”.
Num desenvolvimento relacionado, surgiram detalhes sobre uma campanha de propaganda pró-Kremlin que sequestrou contas reais de utilizadores do Bluesky para publicar conteúdo falso desde 2024. As contas sequestradas incluíam jornalistas e professores. A atividade foi atribuída a uma empresa sediada em Moscou chamada Social Design Agency, que está ligada a uma campanha conhecida como Matryoshka. Em alguns desses casos, a Bluesky tomou a iniciativa de suspender as contas até que os proprietários iniciassem uma redefinição.
A atividade, de acordo com a Equipe de Resposta a Emergências Informáticas da Ucrânia (CERT-UA), envolve o envio de e-mails de phishing para entidades governamentais usando contas comprometidas. Está ativo desde a primavera de 2026.
“Normalmente, o e-mail contém um anexo em PDF com um link que, quando clicado, leva ao download de um arquivo ZIP contendo um arquivo JavaScript”, disse a agência em relatório de quinta-feira.
O arquivo JavaScript, apelidado de OYSTERFRESH, foi projetado para exibir um documento chamariz como um mecanismo de distração, enquanto grava furtivamente uma carga ofuscada e criptografada chamada OYSTERBLUES no Registro do Windows, bem como baixa e inicia o OYSTERSHUCK, que é responsável pela decodificação do OYSTERBLUES.
O OYSTERBLUES está equipado para coletar uma ampla gama de informações do sistema, incluindo nome do computador, conta de usuário, versão do sistema operacional, hora da última inicialização do sistema operacional e uma lista de processos em execução. Os dados coletados são enviados para um servidor de comando e controle (C2) por meio de uma solicitação HTTP POST.
Em seguida, ele aguarda novas respostas contendo o código JavaScript do próximo estágio, que é executado usando a função eval(). A carga útil final é avaliada como Cobalt Strike, uma estrutura de simulação de adversário que é amplamente utilizada em atividades pós-exploração.
“Para reduzir a probabilidade de exploração desta ameaça cibernética, é aconselhável aplicar abordagens básicas conhecidas para reduzir a superfície de ataque, especificamente restringindo a capacidade de executar wscript.exe para contas de usuário padrão”, disse CERT-UA.
A divulgação ocorre no momento em que o Conselho Nacional de Segurança e Defesa da Ucrânia revela o uso pela Rússia de ferramentas de inteligência artificial (IA), como OpenAI ChatGPT e Google Gemini, para explorar alvos e incorporar a tecnologia em malware para gerar comandos maliciosos em tempo de execução, enquanto convoca grupos de hackers apoiados pelo Kremlin para realizar ataques cibernéticos focados na obtenção de inteligência e na garantia de uma presença de longo prazo em redes comprometidas para exploração subsequente, inclusive para apoiar operações de influência.
“Os principais vetores de penetração inicial em 2025 foram a engenharia social, a exploração de vulnerabilidades, a utilização de contas RDP e VPN comprometidas, os ataques às cadeias de abastecimento e a utilização de software não licenciado que já contém backdoors integrados na fase de instalação”, afirmou o Conselho. “Os invasores se concentraram em roubar informações confidenciais, interceptar comunicações e rastrear a localização dos alvos”.
Num desenvolvimento relacionado, surgiram detalhes sobre uma campanha de propaganda pró-Kremlin que sequestrou contas reais de utilizadores do Bluesky para publicar conteúdo falso desde 2024. As contas sequestradas incluíam jornalistas e professores. A atividade foi atribuída a uma empresa sediada em Moscou chamada Social Design Agency, que está ligada a uma campanha conhecida como Matryoshka. Em alguns desses casos, a Bluesky tomou a iniciativa de suspender as contas até que os proprietários iniciassem uma redefinição.
Fonte: https://thehackernews.com
#samirnews #samir #news #boletimtec #ghostwriter #tem #como #alvo #entidades #governamentais #da #ucrânia #com #malware #de #phishing #prometheus
⚡ Fique ligado: novidades e promoções em breve por aqui! ⚡
Postar um comentário