🔥 Fique por dentro das novidades mais quentes do momento! 🔥
Confira agora e compartilhe com seus amigos!
Apoie esse projeto de divulgacao de noticias! Clique aqui
Um novo backdoor furtivo chamado Mistic foi implantado como parte de ataques suspeitos de motivação financeira direcionados a várias organizações que abrangem os setores de seguros, educação, TI e serviços profissionais desde abril de 2026.
De acordo com a Symantec e a equipe Threat Hunter da Carbon Black, o backdoor, também rastreado como MLTBackdoor, está vinculado a um corretor de acesso inicial (IAB) chamado KongTuke (também conhecido como 404 TDS, Chaya_002, LandUpdate808, TAG-124 e Woodgnat), e caiu junto com o ModeloRAT, um trojan de acesso remoto Python (RAT) anteriormente atribuÃdo ao grupo.
“O backdoor executa cargas úteis na memória sem nenhum arquivo gravado no disco e inclui um kill switch que permite que ele se exclua, recursos consistentes com um operador que busca acesso de baixa visibilidade e de longo prazo”, disseram as equipes de segurança cibernética da Broadcom em um relatório compartilhado com The Hacker News.
O ModeloRAT foi sinalizado pela primeira vez pela Huntress em janeiro de 2026 em conexão com uma variante de uma campanha ClickFix chamada CrashFix, na qual os atores do KongTuke usaram uma extensão maliciosa do Google Chrome disfarçada de bloqueador de anúncios para travar intencionalmente o navegador da vÃtima e induzi-la a executar comandos arbitrários sob o pretexto de executar uma verificação de segurança.
O malware também foi distribuÃdo em uma campanha ClickFix diferente que envolvia a execução de comandos que executavam uma pesquisa de Sistema de Nomes de DomÃnio (DNS) para recuperar a carga útil do próximo estágio, com a Microsoft observando que a cadeia de ataque usa DNS como um “teste leve ou canal de sinalização”.
O uso do ClickFix pela Mistic como vetor de entrega foi destacado pelo Zscaler ThreatLabz no inÃcio deste mês, atribuindo a atividade a um ator de ameaça relacionado a ransomware para estabelecer uma base para movimento lateral.
As últimas descobertas da Broadcom mostram que o malware depende de técnicas de carregamento lateral de DLL, usando ferramentas confiáveis de segurança de endpoint da Microsoft ("MpExtMs.exe") para se misturar e evitar alertas. O backdoor é executado diretamente na memória, permitindo uma ampla gama de recursos normalmente associados a uma famÃlia de malware desse tipo -
Carregar ou baixar um arquivo
Mover, renomear ou excluir um arquivo
Crie uma pasta
Modifique o intervalo de tempo após o qual ele pesquisa comandos em um servidor remoto
Execute o código recebido de C2 na memória sem deixar nenhum artefato no disco
Carregue arquivos de objetos Beacon (BOFs) para expandir dinamicamente seus recursos
Encerrar e excluir-se
“A segmentação parece ser oportunista, com os invasores lançando uma rede ampla e avaliando a quais organizações eles poderiam vender acesso, em vez de focar em um único setor”, disseram Symantec e Carbon Black, acrescentando que o ModeloRAT foi observado em ataques que implantaram o ransomware Qilin.
KongTuke é conhecido por operar um sistema de distribuição de tráfego (TDS) construÃdo em sites WordPress comprometidos, usando-o para servir um conjunto de iscas em constante evolução que levam visitantes desavisados do site a malware. Ainda no mês passado, Rapid7 e ReliaQuest revelaram que o ator da ameaça passou a enviar mensagens do Microsoft Teams de uma conta falsa de suporte de TI para desencadear uma cadeia de ataque que leva à implantação do ModeloRAT.
“A furtividade do backdoor também é notável, assim como o fato de que Woodgnat também está possivelmente por trás do desenvolvimento do ModeloRAT, indicando um grupo que é altamente qualificado no desenvolvimento de ferramentas furtivas de acesso remoto”, disse Broadcom.
“O uso de ferramentas personalizadas em ataques de ransomware está se tornando um fenômeno mais comum, com vários exemplos de grupos de ransomware usando exfiltração personalizada e outras ferramentas nos últimos tempos. Backdoor.Mistic parece ser uma continuação dessa tendência, embora pareça ser provavelmente desenvolvido por corretores de acesso que trabalham com afiliados de ransomware, em vez de um grupo de ransomware em si.”
De acordo com a Symantec e a equipe Threat Hunter da Carbon Black, o backdoor, também rastreado como MLTBackdoor, está vinculado a um corretor de acesso inicial (IAB) chamado KongTuke (também conhecido como 404 TDS, Chaya_002, LandUpdate808, TAG-124 e Woodgnat), e caiu junto com o ModeloRAT, um trojan de acesso remoto Python (RAT) anteriormente atribuÃdo ao grupo.
“O backdoor executa cargas úteis na memória sem nenhum arquivo gravado no disco e inclui um kill switch que permite que ele se exclua, recursos consistentes com um operador que busca acesso de baixa visibilidade e de longo prazo”, disseram as equipes de segurança cibernética da Broadcom em um relatório compartilhado com The Hacker News.
O ModeloRAT foi sinalizado pela primeira vez pela Huntress em janeiro de 2026 em conexão com uma variante de uma campanha ClickFix chamada CrashFix, na qual os atores do KongTuke usaram uma extensão maliciosa do Google Chrome disfarçada de bloqueador de anúncios para travar intencionalmente o navegador da vÃtima e induzi-la a executar comandos arbitrários sob o pretexto de executar uma verificação de segurança.
O malware também foi distribuÃdo em uma campanha ClickFix diferente que envolvia a execução de comandos que executavam uma pesquisa de Sistema de Nomes de DomÃnio (DNS) para recuperar a carga útil do próximo estágio, com a Microsoft observando que a cadeia de ataque usa DNS como um “teste leve ou canal de sinalização”.
O uso do ClickFix pela Mistic como vetor de entrega foi destacado pelo Zscaler ThreatLabz no inÃcio deste mês, atribuindo a atividade a um ator de ameaça relacionado a ransomware para estabelecer uma base para movimento lateral.
As últimas descobertas da Broadcom mostram que o malware depende de técnicas de carregamento lateral de DLL, usando ferramentas confiáveis de segurança de endpoint da Microsoft ("MpExtMs.exe") para se misturar e evitar alertas. O backdoor é executado diretamente na memória, permitindo uma ampla gama de recursos normalmente associados a uma famÃlia de malware desse tipo -
Carregar ou baixar um arquivo
Mover, renomear ou excluir um arquivo
Crie uma pasta
Modifique o intervalo de tempo após o qual ele pesquisa comandos em um servidor remoto
Execute o código recebido de C2 na memória sem deixar nenhum artefato no disco
Carregue arquivos de objetos Beacon (BOFs) para expandir dinamicamente seus recursos
Encerrar e excluir-se
“A segmentação parece ser oportunista, com os invasores lançando uma rede ampla e avaliando a quais organizações eles poderiam vender acesso, em vez de focar em um único setor”, disseram Symantec e Carbon Black, acrescentando que o ModeloRAT foi observado em ataques que implantaram o ransomware Qilin.
KongTuke é conhecido por operar um sistema de distribuição de tráfego (TDS) construÃdo em sites WordPress comprometidos, usando-o para servir um conjunto de iscas em constante evolução que levam visitantes desavisados do site a malware. Ainda no mês passado, Rapid7 e ReliaQuest revelaram que o ator da ameaça passou a enviar mensagens do Microsoft Teams de uma conta falsa de suporte de TI para desencadear uma cadeia de ataque que leva à implantação do ModeloRAT.
“A furtividade do backdoor também é notável, assim como o fato de que Woodgnat também está possivelmente por trás do desenvolvimento do ModeloRAT, indicando um grupo que é altamente qualificado no desenvolvimento de ferramentas furtivas de acesso remoto”, disse Broadcom.
“O uso de ferramentas personalizadas em ataques de ransomware está se tornando um fenômeno mais comum, com vários exemplos de grupos de ransomware usando exfiltração personalizada e outras ferramentas nos últimos tempos. Backdoor.Mistic parece ser uma continuação dessa tendência, embora pareça ser provavelmente desenvolvido por corretores de acesso que trabalham com afiliados de ransomware, em vez de um grupo de ransomware em si.”
Fonte: https://thehackernews.com
#samirnews #samir #news #boletimtec #novo #backdoor #mistic #vinculado #ao #kongtuke #nas #campanhas #clickfix #e #modelorat
💡 Compartilhe e ajude nosso projeto a crescer!
Postar um comentário