⚡ Não perca: notÃcia importante no ar! ⚡
Não deixe essa passar: clique e saiba tudo!
Apoie esse projeto de divulgacao de noticias! Clique aqui
Um ator de ameaça russo com motivação financeira, rastreado como UAT-11795, está usando software trojanizado para roubar credenciais e criptomoedas, implantando um novo backdoor chamado Starland RAT.
Os ataques têm ocorrido pelo menos desde junho de 2025 e se concentraram em usuários nos EUA, embora também tenham sido observadas vÃtimas na Alemanha, Romênia e Venezuela.
De acordo com pesquisadores da Cisco Talos, o agente da ameaça distribui a carga útil por meio de instaladores trojanizados para software legÃtimo, como MobaXterm, WebEx, Zoom, DBeaver e FaceIT.
Embora os pesquisadores não tenham conseguido confirmar o vetor de infecção, eles especulam que os arquivos maliciosos provavelmente são enviados usando o método ClickFix.
Em uma análise publicada hoje, Cisco Talos afirma que o ataque começa com um arquivo HTA que recupera um instalador NSIS trojanizado contendo um carregador Python disfarçado de arquivo de texto (LICENSE.txt).
O carregador modifica o Registro do Windows para estabelecer persistência e, em seguida, descriptografa e carrega o trojan de acesso remoto (RAT) Starland.
Quando iniciado, Starland verifica se está sendo executado em um ambiente sandbox, adiciona tarefas agendadas e itens da pasta de inicialização para persistência e tenta aumentar seus privilégios.
O malware procura os seguintes tipos de dados no sistema comprometido:
Dados do navegador e ativos de carteiras de criptomoedas, incluindo mais de 40 carteiras para desktop e extensões de navegador
Detalhes do sistema, incluindo HWID, RAM, processador, sistema operacional, nome do computador, região, endereço IP público e produtos antivÃrus instalados
Informações do Active Directory, incluindo estrutura de domÃnio, controladores de domÃnio e privilégios de domÃnio da vÃtima
StarlandRAT também pode capturar capturas de tela da área de trabalho da vÃtima, executar comandos shell, injetar shellcode de 32 ou 64 bits e baixar cargas adicionais (EXEs, MSIs, DLLs, ZIPs).
Nos ataques observados, a cadeia shellcode de 64 bits entrega o malware ladrão de informações CastleStealer, enquanto a cadeia de 32 bits entrega o trojan de acesso remoto (RAT) Remcos.
CastleStealer tem como alvo credenciais de navegador, informações de carteira de criptomoeda, sessões de Discord e Telegram, credenciais de Steam e arquivos de sistema de arquivos.
Remcos RAT oferece recursos como keylogging, webcam e captura de tela, gravação de áudio, monitoramento da área de transferência, gerenciamento de arquivos e execução remota de comandos.
Visão geral da cadeia de ataque UAT-11795Fonte: Cisco Talos
Cisco Talos destaca que a comunicação de comando e controle (C2) do malware tem um mecanismo de redundância se o acesso ao endereço codificado falhar, o que envolve a consulta de um contrato inteligente Polygon com um domÃnio substituto criptografado por XOR.
Talos também descobriu que o UAT-11795 usa uma estrutura PowerShell C2 anteriormente não documentada chamada WLDR, que usa beacons e comunicações criptografadas (PBKDF2-SHA256), opera inteiramente na memória e vincula a entrega de carga útil ao identificador de hardware de cada vÃtima.
Para se defenderem contra ataques UAT-11795, as organizações devem usar os indicadores de IoCs comprometidos no relatório Cisco Talos.
Os usuários devem evitar executar comandos encontrados online se não entenderem o que fazem e devem baixar software apenas de portais de fornecedores oficiais confirmados.
Teste todas as camadas antes que os invasores o façam
As equipes de segurança registram 54% dos ataques bem-sucedidos e alertam sobre apenas 14%. O restante se move pelo seu ambiente sem ser visto. O whitepaper do Picus mostra como a simulação de violação e ataque testa suas regras de SIEM e EDR para que as ameaças parem de escapar da detecção.
Obtenha o white paper
Os ataques têm ocorrido pelo menos desde junho de 2025 e se concentraram em usuários nos EUA, embora também tenham sido observadas vÃtimas na Alemanha, Romênia e Venezuela.
De acordo com pesquisadores da Cisco Talos, o agente da ameaça distribui a carga útil por meio de instaladores trojanizados para software legÃtimo, como MobaXterm, WebEx, Zoom, DBeaver e FaceIT.
Embora os pesquisadores não tenham conseguido confirmar o vetor de infecção, eles especulam que os arquivos maliciosos provavelmente são enviados usando o método ClickFix.
Em uma análise publicada hoje, Cisco Talos afirma que o ataque começa com um arquivo HTA que recupera um instalador NSIS trojanizado contendo um carregador Python disfarçado de arquivo de texto (LICENSE.txt).
O carregador modifica o Registro do Windows para estabelecer persistência e, em seguida, descriptografa e carrega o trojan de acesso remoto (RAT) Starland.
Quando iniciado, Starland verifica se está sendo executado em um ambiente sandbox, adiciona tarefas agendadas e itens da pasta de inicialização para persistência e tenta aumentar seus privilégios.
O malware procura os seguintes tipos de dados no sistema comprometido:
Dados do navegador e ativos de carteiras de criptomoedas, incluindo mais de 40 carteiras para desktop e extensões de navegador
Detalhes do sistema, incluindo HWID, RAM, processador, sistema operacional, nome do computador, região, endereço IP público e produtos antivÃrus instalados
Informações do Active Directory, incluindo estrutura de domÃnio, controladores de domÃnio e privilégios de domÃnio da vÃtima
StarlandRAT também pode capturar capturas de tela da área de trabalho da vÃtima, executar comandos shell, injetar shellcode de 32 ou 64 bits e baixar cargas adicionais (EXEs, MSIs, DLLs, ZIPs).
Nos ataques observados, a cadeia shellcode de 64 bits entrega o malware ladrão de informações CastleStealer, enquanto a cadeia de 32 bits entrega o trojan de acesso remoto (RAT) Remcos.
CastleStealer tem como alvo credenciais de navegador, informações de carteira de criptomoeda, sessões de Discord e Telegram, credenciais de Steam e arquivos de sistema de arquivos.
Remcos RAT oferece recursos como keylogging, webcam e captura de tela, gravação de áudio, monitoramento da área de transferência, gerenciamento de arquivos e execução remota de comandos.
Visão geral da cadeia de ataque UAT-11795Fonte: Cisco Talos
Cisco Talos destaca que a comunicação de comando e controle (C2) do malware tem um mecanismo de redundância se o acesso ao endereço codificado falhar, o que envolve a consulta de um contrato inteligente Polygon com um domÃnio substituto criptografado por XOR.
Talos também descobriu que o UAT-11795 usa uma estrutura PowerShell C2 anteriormente não documentada chamada WLDR, que usa beacons e comunicações criptografadas (PBKDF2-SHA256), opera inteiramente na memória e vincula a entrega de carga útil ao identificador de hardware de cada vÃtima.
Para se defenderem contra ataques UAT-11795, as organizações devem usar os indicadores de IoCs comprometidos no relatório Cisco Talos.
Os usuários devem evitar executar comandos encontrados online se não entenderem o que fazem e devem baixar software apenas de portais de fornecedores oficiais confirmados.
Teste todas as camadas antes que os invasores o façam
As equipes de segurança registram 54% dos ataques bem-sucedidos e alertam sobre apenas 14%. O restante se move pelo seu ambiente sem ser visto. O whitepaper do Picus mostra como a simulação de violação e ataque testa suas regras de SIEM e EDR para que as ameaças parem de escapar da detecção.
Obtenha o white paper
#samirnews #samir #news #boletimtec #hackers #russos #trojanm #aplicativos #webex #e #zoom #para #espalhar #malware #starland
🔔 Siga-nos para não perder nenhuma atualização!
Postar um comentário