APT-C-60 Ataca Candidatos a Emprego com VHDX Malicioso no Google Drive

BR Defense Center (By River de Morais e Silva)
malware

O grupo de ameaças APT-C-60 intensificou suas atividades entre junho e agosto de 2025, visando organizações japonesas com e-mails de spear-phishing sofisticados. Nesta nova campanha, os atacantes se disfarçaram como candidatos a emprego, enviando mensagens diretamente aos recrutadores. Ao contrário de campanhas anteriores, onde os arquivos maliciosos eram baixados via Google Drive, nesta fase, os arquivos VHDX foram anexados diretamente aos e-mails. Dentro do contêiner VHDX, os alvos encontravam arquivos de atalho (LNK) e currículos falsos. Ao serem clicados, os arquivos LNK executavam um binário legítimo, gcmd.exe, que rodava um script malicioso chamado glog.txt, criando e executando cargas adicionais enquanto exibia um currículo falso para enganar as vítimas.

O downloader principal, WebClassUser.dat, utiliza técnicas de COM hijacking para persistência e coleta dados do sistema, comunicando-se com o serviço de análise StatCounter. Os atacantes também hospedam instruções de carga no GitHub, utilizando uma estrutura de URL que reflete detalhes do sistema comprometido. O malware, que evoluiu para versões mais sofisticadas, utiliza criptografia AES-128-CBC e técnicas de ofuscação para dificultar a detecção. O JPCERT/CC alerta que esses ataques têm um foco regional intenso no Japão e na Ásia Oriental, recomendando vigilância redobrada sobre e-mails relacionados a recrutamento e atividades em repositórios na nuvem.

Fonte: https://cyberpress.org/apt-c-60-cyberattack/

⚠️
BR DEFENSE CENTER: SECURITY BRIEFING
05/11/2025 • Risco: ALTO
MALWARE

APT-C-60 Ataca Candidatos a Emprego com VHDX Malicioso no Google Drive

RESUMO EXECUTIVO
O ataque do APT-C-60 representa uma ameaça significativa, utilizando técnicas avançadas de engenharia social e malware para comprometer sistemas. A evolução do malware e a utilização de plataformas legítimas para a exfiltração de dados aumentam a complexidade da defesa contra tais ameaças.

💼 IMPACTO DE NEGÓCIO

Financeiro
Possíveis perdas financeiras e danos à reputação devido a vazamentos de dados.
Operacional
Exfiltração de dados sensíveis e comprometimento de sistemas.
Setores vulneráveis
['Tecnologia', 'Recrutamento', 'Serviços financeiros']

📊 INDICADORES CHAVE

O malware evoluiu para versões 3.1.12 a 3.1.14. Indicador
Uso de técnicas de COM hijacking para persistência. Contexto BR
Comunicação com serviços legítimos como StatCounter. Urgência

⚡ AÇÕES IMEDIATAS

1 Verificar logs de e-mail para identificar mensagens suspeitas relacionadas a recrutamento.
2 Implementar filtros de segurança para e-mails e educar funcionários sobre os riscos de abrir anexos de fontes desconhecidas.
3 Monitorar continuamente atividades em repositórios na nuvem e comunicações com serviços de análise.

🇧🇷 RELEVÂNCIA BRASIL

CISOs devem se preocupar com a sofisticação dos ataques e a possibilidade de exfiltração de dados sensíveis, especialmente em um contexto de recrutamento onde informações pessoais são frequentemente compartilhadas.

⚖️ COMPLIANCE

Implicações legais e de conformidade com a LGPD, especialmente no que diz respeito à proteção de dados pessoais.
Status
ativo
Verificação
alta
BR Defense Center

Este conteúdo foi processado automaticamente pelo BR Defense Center (By River de Morais e Silva).