Pesquisadores da Palo Alto Networks, através da unidade Unit 42, identificaram um novo malware chamado Airstalk, supostamente associado a um ator de ameaça apoiado por um Estado, que utiliza a API do AirWatch para gerenciamento de dispositivos móveis (MDM) para estabelecer um canal de comando e controle (C2) encoberto. O Airstalk aparece em variantes PowerShell e .NET, sendo a versão .NET mais avançada, capaz de capturar capturas de tela, cookies, histórico de navegação e favoritos de navegadores. O malware se comunica com o servidor C2 através de um protocolo multi-threaded e utiliza um certificado possivelmente roubado para assinar alguns de seus componentes. A pesquisa sugere que o malware pode estar visando o setor de terceirização de processos de negócios (BPO), um alvo lucrativo para atacantes, tanto criminosos quanto apoiados por Estados. A utilização de APIs relacionadas ao MDM para C2 e o foco em navegadores empresariais como o Island indicam uma potencial exploração de cadeia de suprimentos, o que pode ter implicações significativas para a segurança das organizações que dependem desses serviços.
Fonte: https://thehackernews.com/2025/10/nation-state-hackers-deploy-new.html
⚠️BR DEFENSE CENTER: SECURITY BRIEFING
31/10/2025 • Risco: ALTO
MALWARE
Novo malware Airstalk vinculado a ataque de cadeia de suprimentos
RESUMO EXECUTIVO
O malware Airstalk representa uma ameaça significativa para organizações que utilizam MDM, especialmente no setor de BPO. A exploração de APIs para estabelecer canais de C2 e a capacidade de exfiltrar dados sensíveis tornam necessário um monitoramento rigoroso e ações preventivas para mitigar riscos.
💼 IMPACTO DE NEGÓCIO
Financeiro
Potenciais perdas financeiras significativas devido ao comprometimento de dados e interrupções operacionais.
Operacional
Possibilidade de acesso a dados sensíveis de clientes através de cookies de sessão roubados.
Setores vulneráveis
['Terceirização de processos de negócios', 'Tecnologia da informação']
📊 INDICADORES CHAVE
O malware suporta sete diferentes ações de exfiltração.
Indicador
A versão .NET possui mais capacidades do que a versão PowerShell.
Contexto BR
Alguns componentes estão assinados com um certificado possivelmente roubado.
Urgência
⚡ AÇÕES IMEDIATAS
1
Verificar logs de acesso e atividades suspeitas em sistemas que utilizam MDM.
2
Implementar medidas de segurança adicionais, como autenticação multifator e monitoramento de tráfego de rede.
3
Monitorar continuamente a atividade de rede e os logs de acesso para detectar comportamentos anômalos.
🇧🇷 RELEVÂNCIA BRASIL
CISOs devem se preocupar com a segurança de dados sensíveis e a proteção contra ataques que visam a cadeia de suprimentos, especialmente em setores críticos como o BPO.
⚖️ COMPLIANCE
Implicações legais e de compliance com a LGPD, especialmente no que diz respeito à proteção de dados pessoais.
Este conteúdo foi processado automaticamente pelo BR Defense Center (By River de Morais e Silva).
