⚡ Não perca: notícia importante no ar! ⚡

Não deixe essa passar: clique e saiba tudo!

Apoie esse projeto de divulgacao de noticias! Clique aqui
Um ator de ameaça russo com motivação financeira, rastreado como UAT-11795, está usando software trojanizado para roubar credenciais e criptomoedas, implantando um novo backdoor chamado Starland RAT.

Os ataques têm ocorrido pelo menos desde junho de 2025 e se concentraram em usuários nos EUA, embora também tenham sido observadas vítimas na Alemanha, Romênia e Venezuela.

De acordo com pesquisadores da Cisco Talos, o agente da ameaça distribui a carga útil por meio de instaladores trojanizados para software legítimo, como MobaXterm, WebEx, Zoom, DBeaver e FaceIT.



Embora os pesquisadores não tenham conseguido confirmar o vetor de infecção, eles especulam que os arquivos maliciosos provavelmente são enviados usando o método ClickFix.

Em uma análise publicada hoje, Cisco Talos afirma que o ataque começa com um arquivo HTA que recupera um instalador NSIS trojanizado contendo um carregador Python disfarçado de arquivo de texto (LICENSE.txt).

O carregador modifica o Registro do Windows para estabelecer persistência e, em seguida, descriptografa e carrega o trojan de acesso remoto (RAT) Starland.

Quando iniciado, Starland verifica se está sendo executado em um ambiente sandbox, adiciona tarefas agendadas e itens da pasta de inicialização para persistência e tenta aumentar seus privilégios.

O malware procura os seguintes tipos de dados no sistema comprometido:

Dados do navegador e ativos de carteiras de criptomoedas, incluindo mais de 40 carteiras para desktop e extensões de navegador

Detalhes do sistema, incluindo HWID, RAM, processador, sistema operacional, nome do computador, região, endereço IP público e produtos antivírus instalados

Informações do Active Directory, incluindo estrutura de domínio, controladores de domínio e privilégios de domínio da vítima

StarlandRAT também pode capturar capturas de tela da área de trabalho da vítima, executar comandos shell, injetar shellcode de 32 ou 64 bits e baixar cargas adicionais (EXEs, MSIs, DLLs, ZIPs).

Nos ataques observados, a cadeia shellcode de 64 bits entrega o malware ladrão de informações CastleStealer, enquanto a cadeia de 32 bits entrega o trojan de acesso remoto (RAT) Remcos.

CastleStealer tem como alvo credenciais de navegador, informações de carteira de criptomoeda, sessões de Discord e Telegram, credenciais de Steam e arquivos de sistema de arquivos.

Remcos RAT oferece recursos como keylogging, webcam e captura de tela, gravação de áudio, monitoramento da área de transferência, gerenciamento de arquivos e execução remota de comandos.

Visão geral da cadeia de ataque UAT-11795Fonte: Cisco Talos

Cisco Talos destaca que a comunicação de comando e controle (C2) do malware tem um mecanismo de redundância se o acesso ao endereço codificado falhar, o que envolve a consulta de um contrato inteligente Polygon com um domínio substituto criptografado por XOR.

Talos também descobriu que o UAT-11795 usa uma estrutura PowerShell C2 anteriormente não documentada chamada WLDR, que usa beacons e comunicações criptografadas (PBKDF2-SHA256), opera inteiramente na memória e vincula a entrega de carga útil ao identificador de hardware de cada vítima.

Para se defenderem contra ataques UAT-11795, as organizações devem usar os indicadores de IoCs comprometidos no relatório Cisco Talos.

Os usuários devem evitar executar comandos encontrados online se não entenderem o que fazem e devem baixar software apenas de portais de fornecedores oficiais confirmados.







Teste todas as camadas antes que os invasores o façam

As equipes de segurança registram 54% dos ataques bem-sucedidos e alertam sobre apenas 14%. O restante se move pelo seu ambiente sem ser visto. O whitepaper do Picus mostra como a simulação de violação e ataque testa suas regras de SIEM e EDR para que as ameaças parem de escapar da detecção.

Obtenha o white paper



Siga Canal Fsociety para mais novidades:
Instagram | Facebook | Telegram | Twitter
#samirnews #samir #news #boletimtec #hackers #russos #trojanm #aplicativos #webex #e #zoom #para #espalhar #malware #starland
🔔 Siga-nos para não perder nenhuma atualização!

Post a Comment