Pesquisadores de segurança descobriram uma campanha de ataque sofisticada em que atores de ameaças estão explorando Arquivos de Índice de Ajuda da Microsoft (.mshi) como um novo mecanismo de entrega para o backdoor PipeMagic. Essa campanha culmina na exploração da vulnerabilidade crítica CVE-2025-29824, que foi corrigida pela Microsoft em abril de 2025. Os atacantes utilizam um arquivo chamado ‘metafile.mshi’, que contém código C# ofuscado, para executar um payload malicioso através do utilitário MSBuild da Microsoft. Após a execução, o malware explora a vulnerabilidade CVE-2025-29824, que permite elevação de privilégios, e injeta cargas em processos do sistema, como winlogon.exe, para extrair credenciais. O ataque resulta na implantação de ransomware, com arquivos criptografados recebendo extensões aleatórias e notas de resgate sendo deixadas nos sistemas comprometidos. A Microsoft atribui essa atividade ao grupo de ameaças Storm-2460, que continua a adaptar suas táticas e a expandir seus métodos de entrega para evitar detecções.
Fonte: https://cyberpress.org/pipemagic-malware/
🚨BR DEFENSE CENTER: SECURITY BRIEFING
18/08/2025 • Risco: CRITICO
RANSOMWARE
Arquivo de Ajuda da Microsoft Explorado para Implantar Malware PipeMagic
RESUMO EXECUTIVO
A exploração da CVE-2025-29824 por meio do PipeMagic representa uma ameaça significativa para organizações no Brasil, especialmente em setores críticos. A capacidade do grupo Storm-2460 de adaptar suas táticas e explorar novas vulnerabilidades exige que os CISOs implementem medidas de segurança rigorosas e monitorem continuamente suas infraestruturas.
💼 IMPACTO DE NEGÓCIO
Financeiro
Potenciais perdas financeiras significativas devido a sequestro de dados e interrupção de serviços.
Operacional
Implantação de ransomware e extração de credenciais.
Setores vulneráveis
['Setores de TI, financeiro, imobiliário e varejo']
📊 INDICADORES CHAVE
CVE-2025-29824 é uma vulnerabilidade de elevação de privilégios.
Indicador
O grupo Storm-2460 está ativo e adaptando suas táticas.
Contexto BR
Ransomware com notas de resgate nomeadas '!READ_ME_REXX2!.txt'.
Urgência
⚡ AÇÕES IMEDIATAS
1
Verificar se há a presença de arquivos .mshi não autorizados nos sistemas.
2
Aplicar patches de segurança disponíveis para a CVE-2025-29824.
3
Monitorar atividades suspeitas em processos do sistema e tentativas de acesso não autorizado.
🇧🇷 RELEVÂNCIA BRASIL
CISOs devem se preocupar com a exploração de uma vulnerabilidade crítica que pode comprometer a segurança de suas organizações.
⚖️ COMPLIANCE
Implicações legais e de conformidade com a LGPD devido à extração de dados sensíveis.
Este conteúdo foi processado automaticamente pelo BR Defense Center (By River de Morais e Silva).
