Sites falsos de Speedtest ocultam comportamento malicioso com JavaScript ofuscado

BR Defense Center (By River de Morais e Silva)
malware

Analistas de cibersegurança identificaram uma campanha sofisticada que utiliza utilitários do Windows disfarçados como testes de velocidade da Internet, processadores de PDF e interfaces de busca de IA. Esses instaladores, empacotados com Inno-Packer, extraem silenciosamente uma pasta do Node.js e um script JavaScript ofuscado, registrando uma tarefa agendada para executar o script a cada doze horas, enquanto a funcionalidade legítima permanece intacta. Embora os usuários recebam leituras precisas de largura de banda e conversões de PDF, o instalador também implanta um binário do Node.js e um arquivo .js codificado no diretório do aplicativo. A tarefa agendada garante a execução persistente em segundo plano, confirmando que a remoção do componente JavaScript não afeta a funcionalidade principal, evidenciando seu papel como uma porta dos fundos oculta. O script malicioso utiliza uma rotina de decodificação em múltiplas etapas para revelar strings legíveis, realizando consultas ao registro do Windows e enviando dados para um domínio de comando e controle. Organizações devem inspecionar tarefas agendadas e diretórios de instalação para identificar pastas inesperadas do Node.js ou arquivos .js, bloquear domínios conhecidos e implementar assinaturas de detecção para neutralizar esses componentes antes que comandos maliciosos sejam executados.

Fonte: https://cyberpress.org/fake-speedtest-websites/

⚠️
BR DEFENSE CENTER: SECURITY BRIEFING
23/09/2025 • Risco: ALTO
MALWARE

Sites falsos de Speedtest ocultam comportamento malicioso com JavaScript ofuscado

RESUMO EXECUTIVO
A exploração de backdoors por meio de utilitários aparentemente legítimos representa um risco significativo para a segurança cibernética. A capacidade de executar comandos maliciosos em segundo plano pode levar a vazamentos de dados e comprometer a conformidade regulatória, exigindo atenção imediata das lideranças de segurança.

💼 IMPACTO DE NEGÓCIO

Financeiro
Possíveis custos associados à recuperação de dados e mitigação de danos.
Operacional
Execução de comandos maliciosos em segundo plano sem o conhecimento do usuário.
Setores vulneráveis
['Tecnologia da Informação', 'Serviços Financeiros', 'Educação']

📊 INDICADORES CHAVE

Execução do script malicioso a cada 12 horas. Indicador
Uso de uma rotina de decodificação em múltiplas etapas. Contexto BR
Envio de payloads codificados em Base64 para o domínio de C2. Urgência

⚡ AÇÕES IMEDIATAS

1 Inspecionar tarefas agendadas em sistemas Windows para identificar atividades suspeitas.
2 Bloquear domínios de C2 conhecidos e remover qualquer instalação não autorizada do Node.js.
3 Monitorar continuamente o tráfego de rede em busca de comunicações com domínios suspeitos.

🇧🇷 RELEVÂNCIA BRASIL

CISOs devem se preocupar com a introdução de backdoors em sistemas críticos, que podem comprometer a segurança da informação e a integridade dos dados.

⚖️ COMPLIANCE

Implicações para a LGPD, especialmente em relação à coleta e processamento de dados pessoais sem consentimento.
Status
ativo
Verificação
alta
BR Defense Center

Este conteúdo foi processado automaticamente pelo BR Defense Center (By River de Morais e Silva).