⚡ Não perca: notícia importante no ar! ⚡
Confira agora e compartilhe com seus amigos!
Apoie esse projeto de divulgacao de noticias! Clique aqui
Pesquisadores de segurança cibernética sinalizaram várias campanhas ClickFix que entregam três carregadores de malware chamados BabaDeda Loader, Lorem Ipsum Loader e Potemkin, de acordo com relatórios independentes de Morphisec, BlueVoyant e Huntress, respectivamente.
Os ataques envolvendo o BabaDeda Loader, observados em abril de 2026, tiveram como alvo organizações educacionais e financeiras.
“A atividade anterior do BabaDeda era conhecida por ocultar cargas maliciosas dentro de pacotes de instalação de aparência legítima”, disse o pesquisador da Morphisec, Shmuel Uzan. “Esta nova estrutura mantém o mesmo genoma de código, mas o expande para um carregador muito mais capaz, construído para furtividade, evasão e flexibilidade de carga útil.”
O ponto de partida dos ataques é um ataque de engenharia social ClickFix que engana os usuários para que executem comandos PowerShell fornecidos pelo invasor para entregar o carregador, que é então usado para eliminar ladrões de informações e trojans de acesso remoto (RATs), combinando técnicas bem conhecidas como PowerShell oculto, shellcode na memória, carregamento lateral de DLL e armazenamento de carga útil externa.
A atividade foi atribuída ao BabaDeda, um serviço de criptografia que foi documentado pela primeira vez pela Morphisec em novembro de 2021 em conexão com uma campanha direcionada aos setores de criptomoeda e Web3 para distribuir ladrões de informações, RATs e ransomware LockBit.
O carregador foi projetado para criar o perfil do host, evitar a execução em sistemas russos ou bielorrussos e realizar verificações relacionadas ao produto de segurança antes de recuperar a carga principal e injetá-la em um processo confiável do Windows, como "svchost.exe".
Uma das famílias de malware entregues por meio do BabaDeda Loader é um backdoor .NET e ladrão de informações que pode coletar dados confidenciais e estabelecer um canal criptografado para um servidor de comando e controle (C2). O malware oferece suporte a uma ampla gama de funções, incluindo -
Coletando informações detalhadas do sistema
Descobrindo perfis de navegador instalados
Extração de artefatos do navegador, como cookies, histórico de navegação, credenciais salvas, preferências e chaves de criptografia de estado local
Percorrendo diretórios e selecionando arquivos com base em regras configuráveis
Lendo e exfiltrando o conteúdo do arquivo
Captura de telas e exibição de informações
Executar comandos shell ou processos externos e coletar resultados
Transferindo dados de volta para o servidor C2
Usando APIs nativas do Windows para interação de processos, operações de memória, acesso DPAPI, comportamento do Restart Manager e acesso avançado a arquivos
Uma segunda cadeia de ataque descarta um arquivo ZIP que emprega carregamento lateral de DLL para iniciar DanaBot e SectopRAT (também conhecido como ArechClient). O que é notável sobre esses ataques é o uso de um componente de carregamento escalonado chamado Storage Crypter, que lê o material de carga útil de arquivos externos semelhantes a armazenamento, como "List.Control.dat".
“O pacote de aplicativos visível parece legítimo, enquanto cargas maliciosas permanecem escondidas dentro de contêineres armazenados externamente e são decodificadas apenas momentos antes da execução”, disse Morphisec. “Esse design minimiza a visibilidade forense, complica a análise automatizada e reduz as oportunidades para as ferramentas de segurança tradicionais identificarem atividades maliciosas antes que a execução ocorra”.
As descobertas representam uma evolução das estruturas de carregador modernas, que se tornaram cada vez mais modulares e separam a entrega, o armazenamento, a execução e a implantação de carga útil em componentes distintos, em vez de depender de uma única entidade monolítica.
ClickFix Chain Drops Lorem Ipsum Loader
A técnica Click Fix também foi observada em uma campanha ativa que usa pelo menos cinco sites WordPress comprometidos como ponto de partida para entregar um carregador nascente e backdoor de codinome Lorem Ipsum Loader. Os sites hackeados abrangem vários setores, incluindo arquitetura, serviços jurídicos e tecnologia de construção.
Os ataques marcam um afastamento de campanhas oportunistas anteriores que empregavam instaladores trojanizados do Microsoft Teams por meio de portais de download falsos promovidos por meio de envenenamento de SEO e malvertising. Acredita-se que o carregador esteja ativo na natureza desde fevereiro de 2026.
“A mudança para iscas ClickFix hospedadas em sites WordPress (WP) comprometidos amplia significativamente o grupo de vítimas potenciais e demonstra a disposição dos operadores de adaptar rapidamente suas técnicas de acesso inicial”, disseram os pesquisadores da BlueVoyant, Thomas Elkins e Joshua Green.
A mudança no mecanismo de entrega foi atribuída à recente interrupção do Fox Tempest (também conhecido como Forging Marauder) pela Microsoft, um ator de ameaça que anunciava uma operação de assinatura de malware como serviço (MSaaS) para ajudar a entregar malware sem levantar quaisquer sinais de alerta usando certificados Microsoft Trusted Signing assinados de forma fraudulenta.
“A perda do fornecimento de certificados tornou inviável o modelo de entrega do instalador previamente assinado, forçando as operadoras a adotar um mecanismo de entrega que elimina totalmente a assinatura de código”, acrescentam os pesquisadores.
Os ataques envolvendo o BabaDeda Loader, observados em abril de 2026, tiveram como alvo organizações educacionais e financeiras.
“A atividade anterior do BabaDeda era conhecida por ocultar cargas maliciosas dentro de pacotes de instalação de aparência legítima”, disse o pesquisador da Morphisec, Shmuel Uzan. “Esta nova estrutura mantém o mesmo genoma de código, mas o expande para um carregador muito mais capaz, construído para furtividade, evasão e flexibilidade de carga útil.”
O ponto de partida dos ataques é um ataque de engenharia social ClickFix que engana os usuários para que executem comandos PowerShell fornecidos pelo invasor para entregar o carregador, que é então usado para eliminar ladrões de informações e trojans de acesso remoto (RATs), combinando técnicas bem conhecidas como PowerShell oculto, shellcode na memória, carregamento lateral de DLL e armazenamento de carga útil externa.
A atividade foi atribuída ao BabaDeda, um serviço de criptografia que foi documentado pela primeira vez pela Morphisec em novembro de 2021 em conexão com uma campanha direcionada aos setores de criptomoeda e Web3 para distribuir ladrões de informações, RATs e ransomware LockBit.
O carregador foi projetado para criar o perfil do host, evitar a execução em sistemas russos ou bielorrussos e realizar verificações relacionadas ao produto de segurança antes de recuperar a carga principal e injetá-la em um processo confiável do Windows, como "svchost.exe".
Uma das famílias de malware entregues por meio do BabaDeda Loader é um backdoor .NET e ladrão de informações que pode coletar dados confidenciais e estabelecer um canal criptografado para um servidor de comando e controle (C2). O malware oferece suporte a uma ampla gama de funções, incluindo -
Coletando informações detalhadas do sistema
Descobrindo perfis de navegador instalados
Extração de artefatos do navegador, como cookies, histórico de navegação, credenciais salvas, preferências e chaves de criptografia de estado local
Percorrendo diretórios e selecionando arquivos com base em regras configuráveis
Lendo e exfiltrando o conteúdo do arquivo
Captura de telas e exibição de informações
Executar comandos shell ou processos externos e coletar resultados
Transferindo dados de volta para o servidor C2
Usando APIs nativas do Windows para interação de processos, operações de memória, acesso DPAPI, comportamento do Restart Manager e acesso avançado a arquivos
Uma segunda cadeia de ataque descarta um arquivo ZIP que emprega carregamento lateral de DLL para iniciar DanaBot e SectopRAT (também conhecido como ArechClient). O que é notável sobre esses ataques é o uso de um componente de carregamento escalonado chamado Storage Crypter, que lê o material de carga útil de arquivos externos semelhantes a armazenamento, como "List.Control.dat".
“O pacote de aplicativos visível parece legítimo, enquanto cargas maliciosas permanecem escondidas dentro de contêineres armazenados externamente e são decodificadas apenas momentos antes da execução”, disse Morphisec. “Esse design minimiza a visibilidade forense, complica a análise automatizada e reduz as oportunidades para as ferramentas de segurança tradicionais identificarem atividades maliciosas antes que a execução ocorra”.
As descobertas representam uma evolução das estruturas de carregador modernas, que se tornaram cada vez mais modulares e separam a entrega, o armazenamento, a execução e a implantação de carga útil em componentes distintos, em vez de depender de uma única entidade monolítica.
ClickFix Chain Drops Lorem Ipsum Loader
A técnica Click Fix também foi observada em uma campanha ativa que usa pelo menos cinco sites WordPress comprometidos como ponto de partida para entregar um carregador nascente e backdoor de codinome Lorem Ipsum Loader. Os sites hackeados abrangem vários setores, incluindo arquitetura, serviços jurídicos e tecnologia de construção.
Os ataques marcam um afastamento de campanhas oportunistas anteriores que empregavam instaladores trojanizados do Microsoft Teams por meio de portais de download falsos promovidos por meio de envenenamento de SEO e malvertising. Acredita-se que o carregador esteja ativo na natureza desde fevereiro de 2026.
“A mudança para iscas ClickFix hospedadas em sites WordPress (WP) comprometidos amplia significativamente o grupo de vítimas potenciais e demonstra a disposição dos operadores de adaptar rapidamente suas técnicas de acesso inicial”, disseram os pesquisadores da BlueVoyant, Thomas Elkins e Joshua Green.
A mudança no mecanismo de entrega foi atribuída à recente interrupção do Fox Tempest (também conhecido como Forging Marauder) pela Microsoft, um ator de ameaça que anunciava uma operação de assinatura de malware como serviço (MSaaS) para ajudar a entregar malware sem levantar quaisquer sinais de alerta usando certificados Microsoft Trusted Signing assinados de forma fraudulenta.
“A perda do fornecimento de certificados tornou inviável o modelo de entrega do instalador previamente assinado, forçando as operadoras a adotar um mecanismo de entrega que elimina totalmente a assinatura de código”, acrescentam os pesquisadores.
Fonte: https://thehackernews.com
#samirnews #samir #news #boletimtec #campanhas #clickfix #expandem #entrega #de #malware #com #novos #carregadores #e #iscas #de #atualização #falsas
⚡ Fique ligado: novidades e promoções em breve por aqui! ⚡
Postar um comentário