🚨 NOVA NOTÍCIA EM DESTAQUE! 🚨
Confira agora e compartilhe com seus amigos!
Apoie esse projeto de divulgacao de noticias! Clique aqui
Duas campanhas de ciberataque alinhadas com a Rússia continuaram a explorar uma falha de segurança no WinRAR para atingir organizações ucranianas, quase um ano após o lançamento de patches para a vulnerabilidade.
A atividade foi atribuída pela Trend Micro ao Earth Dahu (também conhecido como Gamaredon) e SHADOW-EARTH-066 (também conhecido como UAC-0226). Envolve a exploração de CVE-2025-8088, uma falha de passagem de caminho que permite que um invasor grave arquivos fora do diretório de extração por meio de fluxos de dados alternativos (ADS) NTFS. Foi corrigido pelo WinRAR em julho de 2025.
As descobertas mostram “como o software não gerenciado mantém um ponto de entrada explorado aberto muito depois da correção ser enviada”, disseram os pesquisadores da Trend Micro, Hiroyuki Kakara e Feike Hacquebord, em uma análise publicada na segunda-feira.
A cadeia de exploração WinRAR explorada por SHADOW-EARTH-066 é diferente dos droppers de macro do Excel usados anteriormente pelo agente da ameaça para fornecer um ladrão de informações chamado GIFTEDCROOK. A iteração mais recente faz uso de arquivos RAR criados com um documento PDF falso e três cargas ADS ocultas que estão fora do diretório de extração para iniciar a infecção.
Isso inclui um arquivo de atalho do Windows (LNK) que é colocado na pasta Inicialização para que seja executado automaticamente sempre que um usuário fizer login. Isso, por sua vez, gera um carregador do PowerShell por meio de "cmd.exe", que então usa o carregamento de DLL na memória para finalmente iniciar uma versão atualizada do GIFTEDCROOK ("result.dll").
O malware tem como alvo senhas e cookies de navegadores baseados em Chromium (Google Chrome, Microsoft Edge e Opera) e Mozilla Firefox, além de coletar documentos que correspondem a determinadas extensões da máquina da vítima. Depois que os dados são exfiltrados para um servidor externo, todos os artefatos maliciosos são excluídos para encobrir a trilha forense.
Uma mudança notável é a mudança do Telegram como canal de exfiltração para servidores dedicados de comando e controle (C2), uma modificação importante que provavelmente se alinha com o bloqueio da plataforma de mensagens no país pela Rússia no início de fevereiro.
O segundo grupo de hackers afiliado à Rússia a transformar o CVE-2025-8088 em arma é o Earth Dahu, que incorporou a falha em seu arsenal desde pelo menos setembro de 2025. O adversário é conhecido por seu “esforço em escala industrial” para manter o acesso de longo prazo às organizações comprometidas.
“Earth Dahu usou a vulnerabilidade com uma cadeia de infecção HTA para VBScript que entregou módulos de espionagem”, observou a Trend Micro. "Com base em carimbos de data/hora de arquivos internos RAR e convenções de nomenclatura de arquivos, a cadeia permaneceu ativa pelo menos até 10 de abril de 2026."
Esses ataques, conforme documentado recentemente pela Sekoia na semana passada, levam à implantação do GammaPhish, um aplicativo HTML (HTA), que é então usado para recuperar um downloader VBScript chamado GammaLoad. O downloader intermediário fornece posteriormente módulos adicionais como GammaSteel.
GammaLoad é “uma coleção de VBScripts projetada para garantir acesso contínuo e implantar cargas úteis ao longo do tempo, aproveitando Dead Drop Resolvers (DDR)”, disse Sekoia, acrescentando que é usado para implantar um dropper projetado para lançar um carregador VBScript responsável pela execução de GammaSteel, um ladrão de informações abrangente que pode monitorar alterações em arquivos em tempo real.
“O WinRAR está profundamente enraizado nas operações diárias das organizações ucranianas, tornando-o um alvo atraente para exploração”, disse a Trend Micro. “A convergência de grupos estabelecidos apoiados pelo Estado e de clusters rastreados de forma independente numa única vulnerabilidade reflete a escala das ameaças cibernéticas que a Ucrânia enfrenta”.
A atividade foi atribuída pela Trend Micro ao Earth Dahu (também conhecido como Gamaredon) e SHADOW-EARTH-066 (também conhecido como UAC-0226). Envolve a exploração de CVE-2025-8088, uma falha de passagem de caminho que permite que um invasor grave arquivos fora do diretório de extração por meio de fluxos de dados alternativos (ADS) NTFS. Foi corrigido pelo WinRAR em julho de 2025.
As descobertas mostram “como o software não gerenciado mantém um ponto de entrada explorado aberto muito depois da correção ser enviada”, disseram os pesquisadores da Trend Micro, Hiroyuki Kakara e Feike Hacquebord, em uma análise publicada na segunda-feira.
A cadeia de exploração WinRAR explorada por SHADOW-EARTH-066 é diferente dos droppers de macro do Excel usados anteriormente pelo agente da ameaça para fornecer um ladrão de informações chamado GIFTEDCROOK. A iteração mais recente faz uso de arquivos RAR criados com um documento PDF falso e três cargas ADS ocultas que estão fora do diretório de extração para iniciar a infecção.
Isso inclui um arquivo de atalho do Windows (LNK) que é colocado na pasta Inicialização para que seja executado automaticamente sempre que um usuário fizer login. Isso, por sua vez, gera um carregador do PowerShell por meio de "cmd.exe", que então usa o carregamento de DLL na memória para finalmente iniciar uma versão atualizada do GIFTEDCROOK ("result.dll").
O malware tem como alvo senhas e cookies de navegadores baseados em Chromium (Google Chrome, Microsoft Edge e Opera) e Mozilla Firefox, além de coletar documentos que correspondem a determinadas extensões da máquina da vítima. Depois que os dados são exfiltrados para um servidor externo, todos os artefatos maliciosos são excluídos para encobrir a trilha forense.
Uma mudança notável é a mudança do Telegram como canal de exfiltração para servidores dedicados de comando e controle (C2), uma modificação importante que provavelmente se alinha com o bloqueio da plataforma de mensagens no país pela Rússia no início de fevereiro.
O segundo grupo de hackers afiliado à Rússia a transformar o CVE-2025-8088 em arma é o Earth Dahu, que incorporou a falha em seu arsenal desde pelo menos setembro de 2025. O adversário é conhecido por seu “esforço em escala industrial” para manter o acesso de longo prazo às organizações comprometidas.
“Earth Dahu usou a vulnerabilidade com uma cadeia de infecção HTA para VBScript que entregou módulos de espionagem”, observou a Trend Micro. "Com base em carimbos de data/hora de arquivos internos RAR e convenções de nomenclatura de arquivos, a cadeia permaneceu ativa pelo menos até 10 de abril de 2026."
Esses ataques, conforme documentado recentemente pela Sekoia na semana passada, levam à implantação do GammaPhish, um aplicativo HTML (HTA), que é então usado para recuperar um downloader VBScript chamado GammaLoad. O downloader intermediário fornece posteriormente módulos adicionais como GammaSteel.
GammaLoad é “uma coleção de VBScripts projetada para garantir acesso contínuo e implantar cargas úteis ao longo do tempo, aproveitando Dead Drop Resolvers (DDR)”, disse Sekoia, acrescentando que é usado para implantar um dropper projetado para lançar um carregador VBScript responsável pela execução de GammaSteel, um ladrão de informações abrangente que pode monitorar alterações em arquivos em tempo real.
“O WinRAR está profundamente enraizado nas operações diárias das organizações ucranianas, tornando-o um alvo atraente para exploração”, disse a Trend Micro. “A convergência de grupos estabelecidos apoiados pelo Estado e de clusters rastreados de forma independente numa única vulnerabilidade reflete a escala das ameaças cibernéticas que a Ucrânia enfrenta”.
Fonte: https://thehackernews.com
#samirnews #samir #news #boletimtec #falha #do #winrar #explorada #por #grupos #alinhados #à #rússia #para #implantar #ladrões #na #ucrânia
🚀 Mais conteúdos incríveis estão por vir, fique atento!
Postar um comentário