🔥 Fique por dentro das novidades mais quentes do momento! 🔥
Não deixe essa passar: clique e saiba tudo!
Apoie esse projeto de divulgacao de noticias! Clique aqui
Pesquisadores de segurança cibernética divulgaram detalhes de uma campanha de spear-phishing provavelmente realizada pelo grupo SideCopy, alinhado ao Paquistão, visando o Ministério das Finanças do Afeganistão com um trojan de acesso remoto de código aberto chamado Xeno RAT.
“A campanha começa com uma entrega de spear phishing – um arquivo ZIP contendo um arquivo LNK malicioso com um nome de arquivo em idioma pashto cuidadosamente elaborado”, disse o pesquisador do Seqrite Labs, Dixit Panchal, em um detalhamento técnico da atividade.
Também visados como parte da campanha estão as direcções provinciais de receitas e finanças, funcionários do governo de língua pashto e funcionários do governo a nível provincial. A campanha recebeu o codinome Operação XENOFISCAL.
A escolha do pashto para o arquivo de isca é uma escolha deliberada por parte do invasor, já que é a principal língua falada nos círculos governamentais afegãos. Este aspecto reflete a familiaridade do atacante com o ambiente alvo.
SideCopy é o nome dado a um grupo de ameaças ligado ao Paquistão que opera sob o guarda-chuva mais amplo da Tribo Transparente (também conhecido como APT36), usando uma ampla variedade de famílias de malware para roubar dados confidenciais de hosts comprometidos. Em abril de 2025, o adversário foi atribuído a um conjunto de ataques direcionados a vários setores na Índia com Xeno RAT, Spark RAT e CurlBack RAT.
Vista sob esta luz, a última campanha é uma continuação de um conjunto mais amplo de atividades cibernéticas maliciosas dirigidas a entidades do Sul da Ásia.
Uma vez executado, o arquivo de atalho do Windows (LNK) aproveita “mshta.exe” para buscar um aplicativo HTML remoto (HTA) de um domínio educacional afegão comprometido, levando à execução de JavaScript ofuscado na memória. O malware também estabelece persistência baseada em registro, imitando o Microsoft Edge, ao mesmo tempo em que elimina o Xeno RAT 1.8.7 e um documento chamariz como mecanismo de distração por meio de um carregador baseado em DLL.
O Xeno RAT foi projetado para se conectar a um servidor remoto via TCP para lidar com comandos enviados pelo operador. O malware está equipado para carregar e executar módulos DLL externos, transmitir dados para o servidor, iniciar o malware por meio de uma tarefa agendada, recuperar informações antivírus, suportar tunelamento de rede baseado em proxy SOCKS5, executar operações de arquivo, registrar pressionamentos de teclas, fazer capturas de tela, monitorar a área de transferência, rastrear webcam/microfone, excluir métodos de persistência e desinstalar-se do host.
A divulgação ocorre no momento em que surgem detalhes de uma operação de phishing direcionada que utiliza arquivos .desktop Linux armados para atingir a infraestrutura militar indiana usando iscas relacionadas a contratos associadas a operações de aquisição de veículos blindados indianos. A campanha é avaliada como trabalho da Tribo Transparente.
“A campanha parece ter como alvo indivíduos conectados aos ecossistemas militares e de infraestrutura de defesa indianos, usando engenharia social baseada no WhatsApp e entrega encenada de carga útil”, disse o pesquisador de segurança R.D. Tarun em um relatório publicado no mês passado.
"Uma vez executado, o iniciador malicioso .desktop inicia uma cadeia de infecção baseada em shell altamente ofuscada, envolvendo recuperação de carga útil em estágios, rotinas de decodificação em linha e implantação de um implante ELF baseado em Golang rastreado neste relatório como DeskRAT."
“A campanha começa com uma entrega de spear phishing – um arquivo ZIP contendo um arquivo LNK malicioso com um nome de arquivo em idioma pashto cuidadosamente elaborado”, disse o pesquisador do Seqrite Labs, Dixit Panchal, em um detalhamento técnico da atividade.
Também visados como parte da campanha estão as direcções provinciais de receitas e finanças, funcionários do governo de língua pashto e funcionários do governo a nível provincial. A campanha recebeu o codinome Operação XENOFISCAL.
A escolha do pashto para o arquivo de isca é uma escolha deliberada por parte do invasor, já que é a principal língua falada nos círculos governamentais afegãos. Este aspecto reflete a familiaridade do atacante com o ambiente alvo.
SideCopy é o nome dado a um grupo de ameaças ligado ao Paquistão que opera sob o guarda-chuva mais amplo da Tribo Transparente (também conhecido como APT36), usando uma ampla variedade de famílias de malware para roubar dados confidenciais de hosts comprometidos. Em abril de 2025, o adversário foi atribuído a um conjunto de ataques direcionados a vários setores na Índia com Xeno RAT, Spark RAT e CurlBack RAT.
Vista sob esta luz, a última campanha é uma continuação de um conjunto mais amplo de atividades cibernéticas maliciosas dirigidas a entidades do Sul da Ásia.
Uma vez executado, o arquivo de atalho do Windows (LNK) aproveita “mshta.exe” para buscar um aplicativo HTML remoto (HTA) de um domínio educacional afegão comprometido, levando à execução de JavaScript ofuscado na memória. O malware também estabelece persistência baseada em registro, imitando o Microsoft Edge, ao mesmo tempo em que elimina o Xeno RAT 1.8.7 e um documento chamariz como mecanismo de distração por meio de um carregador baseado em DLL.
O Xeno RAT foi projetado para se conectar a um servidor remoto via TCP para lidar com comandos enviados pelo operador. O malware está equipado para carregar e executar módulos DLL externos, transmitir dados para o servidor, iniciar o malware por meio de uma tarefa agendada, recuperar informações antivírus, suportar tunelamento de rede baseado em proxy SOCKS5, executar operações de arquivo, registrar pressionamentos de teclas, fazer capturas de tela, monitorar a área de transferência, rastrear webcam/microfone, excluir métodos de persistência e desinstalar-se do host.
A divulgação ocorre no momento em que surgem detalhes de uma operação de phishing direcionada que utiliza arquivos .desktop Linux armados para atingir a infraestrutura militar indiana usando iscas relacionadas a contratos associadas a operações de aquisição de veículos blindados indianos. A campanha é avaliada como trabalho da Tribo Transparente.
“A campanha parece ter como alvo indivíduos conectados aos ecossistemas militares e de infraestrutura de defesa indianos, usando engenharia social baseada no WhatsApp e entrega encenada de carga útil”, disse o pesquisador de segurança R.D. Tarun em um relatório publicado no mês passado.
"Uma vez executado, o iniciador malicioso .desktop inicia uma cadeia de infecção baseada em shell altamente ofuscada, envolvendo recuperação de carga útil em estágios, rotinas de decodificação em linha e implantação de um implante ELF baseado em Golang rastreado neste relatório como DeskRAT."
Fonte: https://thehackernews.com
#samirnews #samir #news #boletimtec #sidecopy #vinculado #ao #paquistão #tem #como #alvo #o #ministério #das #finanças #do #afeganistão #com #xeno #rat
⚡ Fique ligado: novidades e promoções em breve por aqui! ⚡
Postar um comentário