MastaStealer Abusa de Arquivos LNK do Windows para Executar PowerShell

BR Defense Center (By River de Morais e Silva)
malware

Pesquisadores identificaram uma nova campanha do MastaStealer que utiliza arquivos de atalho do Windows (LNK) para executar comandos maliciosos em PowerShell e implantar um beacon de comando e controle (C2) em sistemas comprometidos. O ataque começa com um e-mail de spear-phishing que contém um arquivo ZIP com um arquivo .lnk malicioso. Ao ser executado, o atalho abre o Microsoft Edge em um domínio legítimo, anydesk[.]com, enquanto busca silenciosamente um payload secundário de um domínio semelhante, anydesck[.]net. Esse processo resulta no download de um instalador MSI malicioso que estabelece persistência e implanta o payload final. A análise do comportamento foi realizada através dos logs de eventos do Windows Installer, que indicaram falhas de instalação quando executadas sob contas não privilegiadas. O arquivo MSI cria uma pasta temporária e implanta um binário disfarçado de dwm.exe, que atua como beacon C2. Além disso, um comando PowerShell modifica as configurações do Windows Defender, permitindo que o malware opere sem ser detectado. A campanha destaca a eficácia contínua da exploração de arquivos LNK em ataques de engenharia social, exigindo que as organizações adotem medidas de mitigação, como o bloqueio de downloads MSI de fontes não confiáveis e a restrição da execução de arquivos LNK de anexos de e-mail.

Fonte: https://cyberpress.org/mastastealer-windows-lnk-attack/

⚠️
BR DEFENSE CENTER: SECURITY BRIEFING
12/11/2025 • Risco: ALTO
MALWARE

MastaStealer Abusa de Arquivos LNK do Windows para Executar PowerShell

RESUMO EXECUTIVO
O MastaStealer representa uma ameaça significativa para organizações que dependem de sistemas Windows, utilizando técnicas de engenharia social e exploração de arquivos LNK para comprometer dados. A capacidade de burlar o Windows Defender aumenta o risco de exfiltração de informações sensíveis, exigindo atenção imediata dos líderes de segurança.

💼 IMPACTO DE NEGÓCIO

Financeiro
Possíveis perdas financeiras devido a roubo de dados e interrupções operacionais.
Operacional
Comprometimento de dados e exfiltração de informações sensíveis.
Setores vulneráveis
['Tecnologia da Informação', 'Serviços Financeiros', 'Setor Público']

📊 INDICADORES CHAVE

Dois domínios C2 identificados. Indicador
Falhas de instalação registradas em logs do Windows Installer. Contexto BR
Uso de MSI para estabelecer persistência. Urgência

⚡ AÇÕES IMEDIATAS

1 Verificar logs de eventos do Windows Installer para identificar tentativas de instalação suspeitas.
2 Bloquear downloads de arquivos MSI de fontes não confiáveis e restringir a execução de arquivos LNK de e-mails.
3 Monitorar a criação de exclusões desconhecidas no Windows Defender e atividades de PowerShell.

🇧🇷 RELEVÂNCIA BRASIL

CISOs devem se preocupar com a eficácia dos ataques que exploram vulnerabilidades em sistemas amplamente utilizados, como o Windows, e a capacidade de burlar proteções como o Windows Defender.

⚖️ COMPLIANCE

Implicações para a LGPD, especialmente em relação à proteção de dados pessoais.
Status
ativo
Verificação
alta
BR Defense Center

Este conteúdo foi processado automaticamente pelo BR Defense Center (By River de Morais e Silva).