Grupo russo UAT-11795 utiliza software trojanizado para roubo de dados

Um ator de ameaça russo, identificado como UAT-11795, está utilizando um novo backdoor chamado Starland RAT para roubar credenciais e criptomoedas. As investigações indicam que os ataques começaram em junho de 2025, com foco principal em usuários nos Estados Unidos, embora também tenham sido registrados casos na Alemanha, Romênia e Venezuela. O método de ataque envolve a distribuição de instaladores trojanizados de softwares legítimos, como MobaXterm e Zoom, possivelmente utilizando o método ClickFix para empurrar os arquivos maliciosos.

O ataque inicia com um arquivo HTA que baixa um instalador NSIS trojanizado, que contém um loader em Python disfarçado como um arquivo de texto. Esse loader modifica o Registro do Windows para garantir persistência e carrega o Starland RAT. O malware busca dados de navegadores e carteiras de criptomoedas, além de informações do sistema e do Active Directory. O Starland RAT é capaz de capturar telas, executar comandos e baixar payloads adicionais, como o CastleStealer e o Remcos RAT, que ampliam as capacidades de roubo de dados e controle remoto. Para se proteger contra esses ataques, as organizações devem seguir as recomendações da Cisco Talos e evitar a execução de comandos desconhecidos.

Fonte: https://www.bleepingcomputer.com/news/security/russian-hackers-trojanize-webex-zoom-apps-to-push-starland-malware/

⚠️
BR DEFENSE CENTER: SECURITY BRIEFING
16/07/2026 • Risco: ALTO
MALWARE

Grupo russo UAT-11795 utiliza software trojanizado para roubo de dados

RESUMO EXECUTIVO
O UAT-11795 representa uma ameaça significativa, utilizando técnicas avançadas para comprometer sistemas e roubar informações sensíveis. A utilização de softwares legítimos como vetores de ataque aumenta o risco de infecção em ambientes corporativos, exigindo que as organizações implementem medidas de segurança robustas.

💼 IMPACTO DE NEGÓCIO

Financeiro
Potenciais perdas financeiras significativas devido ao roubo de dados e interrupções operacionais.
Operacional
Roubo de credenciais de navegadores e carteiras de criptomoedas.
Setores vulneráveis
['Financeiro', 'Tecnologia da Informação', 'E-commerce']

📊 INDICADORES CHAVE

Mais de 40 carteiras de criptomoedas afetadas. Indicador
54% dos ataques bem-sucedidos são registrados. Contexto BR
Apenas 14% dos ataques geram alertas. Urgência

⚡ AÇÕES IMEDIATAS

1 Verificar logs de acesso e atividade de software em busca de comportamentos suspeitos.
2 Reforçar políticas de download de software e treinar usuários para evitar a execução de arquivos desconhecidos.
3 Monitorar continuamente a comunicação de C2 e atividades de rede para identificar padrões de ataque.

🇧🇷 RELEVÂNCIA BRASIL

CISOs devem se preocupar com a segurança de dados sensíveis e a integridade dos sistemas, especialmente em um cenário onde as ameaças estão se tornando mais sofisticadas.

⚖️ COMPLIANCE

Implicações para a conformidade com a LGPD, especialmente em relação ao tratamento de dados pessoais.
Status
ativo
Verificação
alta
BR Defense Center

Este conteúdo foi processado automaticamente pelo BR Defense Center (By River de Morais e Silva).