Grupo Curly COMrades explora virtualização para executar malware

BR Defense Center (By River de Morais e Silva)
malware

O grupo de cibercriminosos conhecido como Curly COMrades tem utilizado tecnologias de virtualização para contornar soluções de segurança e executar malware personalizado. De acordo com um relatório da Bitdefender, os atacantes ativaram o papel do Hyper-V em sistemas de vítimas selecionadas, implantando uma máquina virtual minimalista baseada em Alpine Linux. Essa configuração oculta, com um espaço em disco de apenas 120MB e 256MB de memória, hospedava um shell reverso chamado CurlyShell e um proxy reverso denominado CurlCat.

Os ataques, que começaram a ser documentados em agosto de 2025, têm como alvo a Geórgia e a Moldávia, com indícios de que o grupo opera alinhado aos interesses da Rússia desde o final de 2023. Ferramentas como RuRat, Mimikatz e um implante modular chamado MucorAgent foram utilizadas para acesso remoto persistente e coleta de credenciais. A análise revelou que a utilização do Hyper-V permitiu aos atacantes isolar o malware em uma máquina virtual, evitando detecções tradicionais de EDR.

Os pesquisadores destacam que a CurlyShell e o CurlCat compartilham uma base de código semelhante, mas diferem na forma como manipulam os dados recebidos. O malware, escrito em C++, conecta-se a um servidor de comando e controle (C2) para executar comandos criptografados, utilizando requisições HTTP para comunicação. Essa abordagem demonstra a adaptabilidade e o controle flexível que os atacantes buscam em suas operações.

Fonte: https://thehackernews.com/2025/11/hackers-weaponize-windows-hyper-v-to.html

⚠️
BR DEFENSE CENTER: SECURITY BRIEFING
06/11/2025 • Risco: ALTO
MALWARE

Grupo Curly COMrades explora virtualização para executar malware

RESUMO EXECUTIVO
O uso de virtualização para ocultar malware representa uma nova tática que pode comprometer a segurança de sistemas críticos. A capacidade de contornar EDRs tradicionais aumenta o risco de incidentes de segurança, exigindo que os CISOs implementem medidas de proteção e monitoramento mais rigorosas.

💼 IMPACTO DE NEGÓCIO

Financeiro
Potenciais perdas financeiras devido a acessos não autorizados e vazamento de dados.
Operacional
Acesso remoto persistente e coleta de credenciais.
Setores vulneráveis
['Tecnologia da Informação', 'Financeiro', 'Setor Público']

📊 INDICADORES CHAVE

Máquina virtual com apenas 120MB de espaço em disco. Indicador
Uso de 256MB de memória para a VM. Contexto BR
Implantação de ferramentas como CurlyShell e CurlCat. Urgência

⚡ AÇÕES IMEDIATAS

1 Verificar se o Hyper-V está habilitado em sistemas críticos e revisar logs de acesso.
2 Desabilitar o Hyper-V em sistemas que não necessitam dessa funcionalidade e aplicar atualizações de segurança.
3 Monitorar atividades suspeitas e tentativas de acesso não autorizado em sistemas Windows 10.

🇧🇷 RELEVÂNCIA BRASIL

CISOs devem se preocupar com a possibilidade de ataques que utilizam virtualização para contornar medidas de segurança, especialmente em ambientes corporativos que utilizam Windows 10.

⚖️ COMPLIANCE

Implicações legais e de compliance com a LGPD em caso de vazamento de dados.
Status
ativo
Verificação
alta
BR Defense Center

Este conteúdo foi processado automaticamente pelo BR Defense Center (By River de Morais e Silva).