Malware Airstalk Explora APIs do VMware AirWatch para Operações C2 Secretas

BR Defense Center (By River de Morais e Silva)
malware

Pesquisadores da Palo Alto Networks, através da Unidade 42, identificaram uma nova família de malware chamada Airstalk, que parece estar ligada a uma operação de um suposto estado-nação, classificada como CL-STA-1009. O malware, desenvolvido em PowerShell e .NET, foi utilizado em um ataque de cadeia de suprimentos, visando provedores de terceirização de processos de negócios (BPO) e serviços gerenciados. Airstalk explora a API de Gerenciamento de Dispositivos Móveis (MDM) do VMware AirWatch (atualmente Workspace ONE UEM) para estabelecer comunicações de comando e controle (C2) de forma discreta. Ao abusar de pontos finais legítimos do AirWatch, o malware consegue evitar a detecção e se camuflar no tráfego empresarial confiável. A variante em PowerShell utiliza atributos de dispositivos personalizados para trocar mensagens C2 criptografadas, enquanto a versão em .NET apresenta funcionalidades mais avançadas, como suporte a navegadores adicionais e múltiplas threads para tarefas de C2. Ambas as versões demonstram um design modular e em desenvolvimento contínuo, com a assinatura de um certificado digital possivelmente roubado, indicando características de operações de ameaças persistentes avançadas. A análise sugere que a campanha representa um risco significativo, especialmente para provedores de serviços terceirizados, que são vistos como alvos valiosos para compromissos de cadeia de suprimentos.

Fonte: https://cyberpress.org/airstalk-malware-vmware-airwatch/

⚠️
BR DEFENSE CENTER: SECURITY BRIEFING
06/11/2025 • Risco: ALTO
MALWARE

Malware Airstalk Explora APIs do VMware AirWatch para Operações C2 Secretas

RESUMO EXECUTIVO
O malware Airstalk representa uma ameaça significativa, utilizando técnicas avançadas para se infiltrar em sistemas através de APIs confiáveis. A exploração de provedores de BPO e serviços gerenciados destaca a vulnerabilidade de cadeias de suprimentos, exigindo ações imediatas para mitigar riscos e proteger dados sensíveis.

💼 IMPACTO DE NEGÓCIO

Financeiro
Possíveis perdas financeiras significativas devido ao roubo de dados e interrupções operacionais.
Operacional
Roubo de dados sensíveis, incluindo cookies do Chrome e capturas de tela.
Setores vulneráveis
['Tecnologia da Informação', 'Serviços Financeiros', 'Telecomunicações']

📊 INDICADORES CHAVE

Uso de um certificado digital revogado para assinar o malware. Indicador
Integração de múltiplas threads na versão .NET para tarefas de C2. Contexto BR
Vários tipos de mensagens C2, como CONNECT e ACTIONS. Urgência

⚡ AÇÕES IMEDIATAS

1 Auditar o uso de APIs do VMware AirWatch e verificar logs de acesso.
2 Implementar monitoramento rigoroso de tráfego MDM e reforçar a segurança das credenciais de acesso.
3 Acompanhar continuamente atividades suspeitas relacionadas a dispositivos gerenciados e tráfego de rede.

🇧🇷 RELEVÂNCIA BRASIL

CISOs devem se preocupar com a crescente sofisticação de ataques que exploram infraestruturas confiáveis, como MDM, para comprometer dados sensíveis.

⚖️ COMPLIANCE

Implicações diretas na conformidade com a LGPD, especialmente em relação à proteção de dados pessoais.
Status
ativo
Verificação
alta
BR Defense Center

Este conteúdo foi processado automaticamente pelo BR Defense Center (By River de Morais e Silva).