🌟 Atualização imperdível para quem gosta de estar bem informado!

A notícia que você procurava está aqui!

Apoie esse projeto de divulgacao de noticias! Clique aqui
Um ator de ameaça anteriormente não documentado, conhecido como Armored Likho, foi atribuído a ataques cibernéticos direcionados a agências governamentais e ao setor de energia elétrica na Rússia, no Brasil e no Cazaquistão.

“Armored Likho combina campanhas com motivação financeira direcionadas a indivíduos com espionagem cibernética direcionada a organizações”, disse Kaspersky em uma análise técnica publicada hoje. "Seu kit de ferramentas apresenta RATs modulares e ofuscados e infostealers projetados especificamente para contornar a análise dinâmica."

Os ataques também se caracterizam pelo uso de ferramentas como Go2Tunnel para acesso remoto e tunelamento de rede. A ampla variedade de ferramentas em seu arsenal permite que o agente da ameaça mantenha acesso persistente aos hosts comprometidos, roube credenciais e dados confidenciais e forneça dinamicamente módulos adaptados ao perfil da vítima.

O fornecedor russo de segurança cibernética disse que a Armored Likho compartilha possíveis sobreposições com um cluster de ameaças rastreado pela BI.ZONE sob o apelido de Eagle Werewolf, que está ativo desde maio de 2023. O grupo de hackers tem um histórico de atingir organizações governamentais e de defesa, especificamente aquelas envolvidas no desenvolvimento e fabricação de UAV, usando droppers, trojans de acesso remoto (RATs) e utilitários para estabelecer túneis SSH.

“Os atores da ameaça podem usar canais comprometidos do Telegram para distribuir o malware”, observa BI.ZONE em sua descrição do ator da ameaça. “Embora a principal motivação do grupo seja a espionagem cibernética, também foram registradas campanhas destinadas a roubar fundos das vítimas”.

Em fevereiro de 2026, Eagle Werewolf foi observado comprometendo um canal Telegram focado em drones para distribuir AquilaRAT por meio de um conta-gotas Rust que se disfarça como uma lista de verificação para ativação de dispositivos Starlink. Também é usada em seus ataques uma ferramenta chamada Go2Tunnel para estabelecer um túnel SSH reverso para um servidor de comando e controle (C2) usando uma chave privada.

As últimas descobertas mostram que o ator da ameaça também empregou um ladrão de informações baseado em Python, anteriormente não relatado, chamado BusySnake Stealer, visando sistemas Windows, uma versão do qual inclui um módulo para roubar cookies de navegadores da web. As origens exatas do Armored Likho permanecem desconhecidas.

O ponto de partida da cadeia de ataque é um e-mail de spear-phishing que usa iscas relacionadas a avisos oficiais do governo ou programas sociais para distribuir um arquivo RAR contendo binários EXE que servem como droppers para cargas adicionais recuperadas de um repositório GitHub, incluindo a carga útil do ladrão.

O malware dropper também cria dois arquivos Visual Basic Script (VBScript) que são responsáveis ​​por apagar rastros da execução inicial, bem como lançar o ladrão por meio de uma tarefa agendada.

Cadeias alternativas utilizam atalhos do Windows (LNK) em vez de cargas EXE que armam uma vulnerabilidade agora corrigida relacionada à forma como o Windows lida com esses arquivos, resultando na execução remota de código. A falha, rastreada como CVE-2025-9491 (também conhecida como ZDI-CAN-25373), foi corrigida pela Microsoft como parte de suas atualizações do Patch Tuesday de novembro de 2025. Evidências descobertas pela Trend Micro no ano passado revelaram que a falha foi transformada em arma por uma dúzia de grupos de hackers desde 2017.

Na cadeia de ataque documentada pela Kaspersky, a vulnerabilidade do atalho é abusada para acionar a execução de um comando ofuscado do PowerShell que inicia um carregador responsável por exibir um documento isca, enquanto prepara o ambiente para a execução do ladrão Python. O malware então estabelece persistência por meio de uma combinação de um arquivo VBScript e uma tarefa agendada, como antes.

O ladrão, chamado BusySnake, implementa múltiplas técnicas de evasão para complicar a análise estática e a detecção de desvios. Seu objetivo principal é estabelecer comunicação com um servidor C2 e então aguardar as instruções recebidas. Ele também oferece suporte às seguintes funcionalidades -

Roube dados da área de transferência do sistema.

Enumere arquivos em todo o sistema e registre seus metadados em um banco de dados local.

Carregue documentos do usuário para o servidor C2.

Capture capturas de tela e coloque-as em um diretório local.

Arquive as capturas de tela e remova os arquivos criados anteriormente do disco.

Evite que várias instâncias do ladrão sejam executadas simultaneamente no host infectado.

Garanta a persistência verificando se a tarefa agendada existe e, caso contrário, descarte um VBScript para registrar uma nova tarefa agendada.

Além disso, os comandos emitidos pelo servidor C2 permitem fazer capturas de tela em um intervalo designado, registrar dados de pressionamento de tecla, coletar arquivos de carteira de criptomoeda com extensão JSON, coletar sessão do Telegram e dados de credenciais, estabelecer um túnel SSH reverso usando Go2Tunnel, instalar RustDesk e extrair cookies de navegadores Mozilla Firefox e baseados em Chromium, junto com senhas.

Se o RustDesk já estiver instalado na máquina
Siga Canal Fsociety para mais novidades:
Instagram | Facebook | Telegram | Twitter
#samirnews #samir #news #boletimtec #armored #likho #tem #como #alvo #agências #governamentais #e #setor #de #energia #com #busysnake #stealer
🚀 Mais conteúdos incríveis estão por vir, fique atento!

Post a Comment