Malware TamperedChef Alvo de Ferramentas de Produtividade

BR Defense Center (By River de Morais e Silva)
malware

O malware TamperedChef foi identificado pela equipe de Resposta a Incidentes da Field Effect em 22 de setembro de 2025, disfarçado como utilitários legítimos, ImageLooker.exe e Calendaromatic.exe. Esses arquivos, assinados digitalmente pela CROWN SKY LLC, foram projetados para contornar as proteções do Windows, utilizando a exploração da vulnerabilidade CVE-2025-0411. Distribuídos por meio de manipulação de motores de busca e publicidade enganosa, os executáveis carregavam cargas úteis de JavaScript que interagiam com APIs do sistema, permitindo a coleta de dados sensíveis e execução de comandos.

Os arquivos maliciosos criavam tarefas agendadas e modificavam chaves do registro para garantir persistência, estabelecendo canais de comando e controle com os domínios movementxview.com e calendaromatic.com. A utilização do framework NeutralinoJS e a ofuscação de scripts com homógrafos Unicode dificultaram a detecção por mecanismos de segurança. A análise de tráfego de rede revelou a exfiltração silenciosa de dados do navegador, como credenciais armazenadas e informações de preenchimento automático. A campanha, que começou em 17 de setembro de 2025, destaca a crescente sofisticação das ameaças cibernéticas, especialmente em relação a ferramentas de produtividade que são amplamente utilizadas em ambientes corporativos.

Fonte: https://cyberpress.org/tamperedchef-malware/

⚠️
BR DEFENSE CENTER: SECURITY BRIEFING
29/09/2025 • Risco: ALTO
MALWARE

Malware TamperedChef Alvo de Ferramentas de Produtividade

RESUMO EXECUTIVO
O malware TamperedChef representa uma ameaça significativa para organizações que utilizam ferramentas de produtividade. A exploração da CVE-2025-0411 e a utilização de técnicas de ofuscação dificultam a detecção, aumentando o risco de comprometimento de dados sensíveis. A resposta rápida e a implementação de medidas de segurança são cruciais para mitigar os riscos associados.

💼 IMPACTO DE NEGÓCIO

Financeiro
Potenciais perdas financeiras devido à exfiltração de dados e interrupções operacionais.
Operacional
Exfiltração de dados sensíveis, incluindo credenciais e informações pessoais.
Setores vulneráveis
['Tecnologia da Informação', 'Serviços Financeiros', 'Educação']

📊 INDICADORES CHAVE

Dois executáveis maliciosos identificados. Indicador
Exploração da vulnerabilidade CVE-2025-0411. Contexto BR
Canais de comando e controle estabelecidos com dois domínios. Urgência

⚡ AÇÕES IMEDIATAS

1 Verificar a presença de executáveis suspeitos em sistemas e redes.
2 Bloquear arquivos autoextraíveis de fontes não confiáveis e atualizar o 7-Zip.
3 Monitorar conexões de saída para os domínios identificados e revisar tarefas agendadas e entradas de registro.

🇧🇷 RELEVÂNCIA BRASIL

CISOs devem se preocupar com a crescente sofisticação dos ataques que visam ferramentas de produtividade, essenciais para operações diárias.

⚖️ COMPLIANCE

Implicações para a LGPD, especialmente em relação à proteção de dados pessoais.
Status
ativo
Verificação
alta
BR Defense Center

Este conteúdo foi processado automaticamente pelo BR Defense Center (By River de Morais e Silva).