🌟 Atualização imperdÃvel para quem gosta de estar bem informado!
Sua opinião é importante: leia e participe!
Apoie esse projeto de divulgacao de noticias! Clique aqui
Pesquisadores de segurança cibernética sinalizaram uma nova campanha de malspam que utiliza o domÃnio DoubleClick do Google como uma forma de evitar a detecção e, em última análise, entregar um trojan de acesso remoto (RAT) chamado DesckVB RAT.
“Antes que a vÃtima chegue à infraestrutura controlada pelo invasor, a isca passa pelo DoubleClick, um domÃnio legÃtimo de propriedade do Google que muitas ferramentas de segurança têm menos probabilidade de tratar como suspeito”, disseram os pesquisadores da Huntress Anna Pham e Adam Mooney em um relatório compartilhado com The Hacker News.
“A partir daÃ, a vÃtima é passada para um kit malspam que se personaliza instantaneamente usando o endereço de e-mail da vÃtima, extraindo dinamicamente a marca da empresa e detalhes de localização para tornar a página convincente, sem exigir que os operadores criem uma isca para cada alvo.”
O que torna este ataque digno de nota é que elimina a necessidade de ter um kit personalizado para cada organização visada, tornando assim estas operações mais escaláveis e económicas. O objetivo final da campanha é eliminar o DesckVB RAT, um trojan baseado em .NET que está ativo desde fevereiro de 2026.
O ataque começa quando um usuário desavisado abre um arquivo HTML anexado a um e-mail de phishing. O arquivo aciona um redirecionamento de meta-atualização do navegador para um URL de rastreamento de cliques do Google DoubleClick Campaign Manager, de onde o usuário é direcionado para outro redirecionador, que decodifica o endereço de e-mail codificado em Base64 e leva a vÃtima a uma página de destino contendo um botão "Baixar PDF".
Clicar no botão faz com que o servidor responda com um arquivo ZIP que inicia o resto da cadeia de infecção. Isso é conseguido por meio de um carregador JavaScript, cuja principal responsabilidade é recuperar e executar um .NET RAT enquanto voa sob o radar. O script extrai e executa um script do PowerShell, que então busca um carregador .NET de um servidor externo.
O carregador atua como um stager que verifica se não está sendo analisado, neutraliza os controles de segurança da máquina, configura a persistência e, por fim, baixa e executa a carga útil do RAT usando uma técnica chamada esvaziamento de processo que envolve a injeção de malware em processos assinados pela Microsoft.
Uma vez iniciado, o trojan se comunica com um servidor de comando e controle (C2) por meio de soquetes TCP brutos, realiza reconhecimento do sistema e configura exclusões do Microsoft Defender. O trojan também corrige o Antimalware Scan Interface (AMSI) e o Event Tracing for Windows (ETW) no nÃvel da API nativa no inÃcio, em um esforço para cegar a telemetria do Windows antes que a persistência seja estabelecida no host, configurando as entradas Run e RunOnce Registry, juntamente com a colocação de um carregador responsável por iniciar o RAT na pasta de inicialização do usuário.
O malware vem com recursos para extrair dados, executar comandos e implantar cargas adicionais, concedendo aos invasores controle total sobre as máquinas infectadas, ao mesmo tempo em que toma medidas para passar despercebido, encerrando e reiniciando a máquina se detectar uma ferramenta de análise ou determinar que está sendo executado em um ambiente de área restrita.
“Este é um forte lembrete de por que a defesa em profundidade é importante”, disse Huntress. "Configurar um Objeto de PolÃtica de Grupo (GPO) no Active Directory para forçar a abertura de arquivos de script como .vbs, .hta e .js no Bloco de Notas por padrão pode impedir um agente de ameaça no primeiro estágio, evitando que cargas adicionais sejam descartadas."
“No que diz respeito à segurança de e-mail, as organizações devem considerar a implantação de registros DMARC, DKIM e SPF para reduzir a probabilidade de e-mails falsificados ou maliciosos chegarem aos usuários finais. Além disso, uma solução de gateway de e-mail capaz de colocar anexos e links em sandbox antes da entrega adiciona outra camada significativa de proteção.”
“Antes que a vÃtima chegue à infraestrutura controlada pelo invasor, a isca passa pelo DoubleClick, um domÃnio legÃtimo de propriedade do Google que muitas ferramentas de segurança têm menos probabilidade de tratar como suspeito”, disseram os pesquisadores da Huntress Anna Pham e Adam Mooney em um relatório compartilhado com The Hacker News.
“A partir daÃ, a vÃtima é passada para um kit malspam que se personaliza instantaneamente usando o endereço de e-mail da vÃtima, extraindo dinamicamente a marca da empresa e detalhes de localização para tornar a página convincente, sem exigir que os operadores criem uma isca para cada alvo.”
O que torna este ataque digno de nota é que elimina a necessidade de ter um kit personalizado para cada organização visada, tornando assim estas operações mais escaláveis e económicas. O objetivo final da campanha é eliminar o DesckVB RAT, um trojan baseado em .NET que está ativo desde fevereiro de 2026.
O ataque começa quando um usuário desavisado abre um arquivo HTML anexado a um e-mail de phishing. O arquivo aciona um redirecionamento de meta-atualização do navegador para um URL de rastreamento de cliques do Google DoubleClick Campaign Manager, de onde o usuário é direcionado para outro redirecionador, que decodifica o endereço de e-mail codificado em Base64 e leva a vÃtima a uma página de destino contendo um botão "Baixar PDF".
Clicar no botão faz com que o servidor responda com um arquivo ZIP que inicia o resto da cadeia de infecção. Isso é conseguido por meio de um carregador JavaScript, cuja principal responsabilidade é recuperar e executar um .NET RAT enquanto voa sob o radar. O script extrai e executa um script do PowerShell, que então busca um carregador .NET de um servidor externo.
O carregador atua como um stager que verifica se não está sendo analisado, neutraliza os controles de segurança da máquina, configura a persistência e, por fim, baixa e executa a carga útil do RAT usando uma técnica chamada esvaziamento de processo que envolve a injeção de malware em processos assinados pela Microsoft.
Uma vez iniciado, o trojan se comunica com um servidor de comando e controle (C2) por meio de soquetes TCP brutos, realiza reconhecimento do sistema e configura exclusões do Microsoft Defender. O trojan também corrige o Antimalware Scan Interface (AMSI) e o Event Tracing for Windows (ETW) no nÃvel da API nativa no inÃcio, em um esforço para cegar a telemetria do Windows antes que a persistência seja estabelecida no host, configurando as entradas Run e RunOnce Registry, juntamente com a colocação de um carregador responsável por iniciar o RAT na pasta de inicialização do usuário.
O malware vem com recursos para extrair dados, executar comandos e implantar cargas adicionais, concedendo aos invasores controle total sobre as máquinas infectadas, ao mesmo tempo em que toma medidas para passar despercebido, encerrando e reiniciando a máquina se detectar uma ferramenta de análise ou determinar que está sendo executado em um ambiente de área restrita.
“Este é um forte lembrete de por que a defesa em profundidade é importante”, disse Huntress. "Configurar um Objeto de PolÃtica de Grupo (GPO) no Active Directory para forçar a abertura de arquivos de script como .vbs, .hta e .js no Bloco de Notas por padrão pode impedir um agente de ameaça no primeiro estágio, evitando que cargas adicionais sejam descartadas."
“No que diz respeito à segurança de e-mail, as organizações devem considerar a implantação de registros DMARC, DKIM e SPF para reduzir a probabilidade de e-mails falsificados ou maliciosos chegarem aos usuários finais. Além disso, uma solução de gateway de e-mail capaz de colocar anexos e links em sandbox antes da entrega adiciona outra camada significativa de proteção.”
Fonte: https://thehackernews.com
#samirnews #samir #news #boletimtec #google #doubleclick #abusado #em #nova #campanha #malspam #para #fornecer #rat #desckvb
🎉 Obrigado por acompanhar, até a próxima notÃcia!
Postar um comentário