Grupo norte-coreano ScarCruft utiliza novas ferramentas de malware

BR Defense Center (By River de Morais e Silva)
malware

O grupo de ameaças cibernéticas norte-coreano conhecido como ScarCruft foi associado a uma nova campanha de malware chamada Ruby Jumper, que utiliza ferramentas sofisticadas para vigilância e controle de sistemas. A campanha, descoberta pela Zscaler ThreatLabz em dezembro de 2025, envolve o uso de um backdoor que se comunica via Zoho WorkDrive, além de implantes que utilizam mídias removíveis para transmitir comandos e invadir redes isoladas.

Quando um usuário abre um arquivo LNK malicioso, um comando PowerShell é executado, permitindo que o malware extraia múltiplos payloads embutidos. Entre os payloads estão o RESTLEAF, que utiliza Zoho WorkDrive para comunicação de comando e controle, e o THUMBSBD, que se disfarça como um arquivo Ruby e pode coletar informações do sistema, exfiltrar arquivos e executar comandos arbitrários. O THUMBSBD também distribui o FOOTWINE, que possui capacidades de keylogging e captura de áudio e vídeo.

A campanha destaca a utilização de serviços de nuvem legítimos para facilitar ataques, além de explorar mídias removíveis para contornar sistemas isolados. Essa abordagem representa um novo nível de complexidade nas táticas de ataque, exigindo atenção redobrada das organizações para proteger suas infraestruturas.

Fonte: https://thehackernews.com/2026/02/scarcruft-uses-zoho-workdrive-and-usb.html

⚠️
BR DEFENSE CENTER: SECURITY BRIEFING
27/02/2026 • Risco: ALTO
MALWARE

Grupo norte-coreano ScarCruft utiliza novas ferramentas de malware

RESUMO EXECUTIVO
A campanha Ruby Jumper do ScarCruft representa uma ameaça significativa, utilizando serviços de nuvem para controle de malware e explorando mídias removíveis para infectar sistemas isolados. A complexidade do ataque e a possibilidade de comprometer dados sensíveis exigem uma resposta proativa das organizações.

💼 IMPACTO DE NEGÓCIO

Financeiro
Possíveis perdas financeiras devido a vazamentos de dados e interrupções operacionais.
Operacional
Capacidade de coletar dados sensíveis e comprometer sistemas isolados.
Setores vulneráveis
['Setores de tecnologia, finanças e governo']

📊 INDICADORES CHAVE

Utilização de Zoho WorkDrive pela primeira vez em campanhas do ScarCruft. Indicador
Múltiplos payloads extraídos de um único arquivo LNK. Contexto BR
Capacidades de keylogging e captura de áudio e vídeo do FOOTWINE. Urgência

⚡ AÇÕES IMEDIATAS

1 Verificar logs de acesso e atividades em serviços de nuvem utilizados.
2 Implementar medidas de segurança para monitorar e restringir o uso de mídias removíveis.
3 Monitorar continuamente atividades suspeitas em sistemas e redes, especialmente em relação a comunicações com serviços de nuvem.

🇧🇷 RELEVÂNCIA BRASIL

CISOs devem se preocupar com a crescente sofisticação das ameaças que utilizam serviços legítimos para conduzir ataques, o que pode dificultar a detecção e mitigação.

⚖️ COMPLIANCE

Implicações diretas na conformidade com a LGPD e na proteção de dados pessoais.
Status
ativo
Verificação
alta
BR Defense Center

Este conteúdo foi processado automaticamente pelo BR Defense Center (By River de Morais e Silva).