Dll Sideloading

Pesquisadores de cibersegurança descobriram uma nova campanha de phishing que utiliza mensagens privadas em redes sociais, como o LinkedIn, para disseminar arquivos maliciosos, possivelmente com a intenção de implantar um Trojan de Acesso Remoto (RAT). A atividade envolve o envio de mensagens a indivíduos de alto valor, estabelecendo confiança e induzindo-os a baixar um arquivo autoextraível do WinRAR. Este arquivo extrai quatro componentes: um leitor de PDF legítimo, uma DLL maliciosa, um executável do interpretador Python e um arquivo RAR que provavelmente serve como isca. A infecção é ativada quando o leitor de PDF é executado, permitindo que a DLL maliciosa seja carregada. O uso de DLL sideloading tem se tornado comum entre atacantes para evitar detecções. Nos últimos dias, pelo menos três campanhas documentadas utilizaram essa técnica para entregar malwares como LOTUSLITE e PDFSIDER. A DLL maliciosa instala o interpretador Python e cria uma chave de registro no Windows para garantir a execução automática em cada login. O payload final tenta se comunicar com um servidor externo, permitindo acesso remoto persistente e exfiltração de dados. Essa abordagem demonstra que ataques de phishing não se limitam a e-mails, explorando lacunas de segurança em plataformas de redes sociais, que geralmente têm menos monitoramento.

Pesquisadores de segurança revelaram uma técnica de ataque sofisticada que utiliza o Microsoft OneDrive para executar código malicioso, contornando defesas de segurança tradicionais. O método, conhecido como DLL sideloading, explora a ordem previsível de busca de bibliotecas dinâmicas do Windows. Quando o OneDrive.exe é iniciado, o sistema operacional procura arquivos necessários, como version.dll, em várias localizações, começando pelo diretório do aplicativo. Os atacantes aproveitam esse comportamento ao inserir uma versão maliciosa do arquivo version.dll no diretório do OneDrive, fazendo com que o aplicativo carregue código controlado pelo invasor em vez das bibliotecas legítimas da Microsoft.

Pesquisadores de cibersegurança da Zscaler ThreatLabz descobriram um sofisticado ataque à cadeia de suprimentos que visa desenvolvedores Python por meio de um pacote malicioso. O ataque, identificado em 22 de julho de 2025, utiliza um pacote aparentemente benigno chamado ’termncolor’, que importa uma dependência maliciosa chamada ‘colorinal’. Após a instalação, o malware executa um arquivo que carrega uma DLL maliciosa, permitindo a execução de código malicioso disfarçado de um executável legítimo. Para garantir a persistência, o malware cria uma entrada no registro do Windows, assegurando que o executável malicioso seja executado automaticamente em cada inicialização do sistema. Além disso, o malware realiza reconhecimento do sistema e se comunica com um servidor de comando e controle utilizando tráfego HTTPS, dificultando a detecção. O ataque também possui uma variante para sistemas Linux. Embora os pacotes maliciosos tenham sido removidos do Python Package Index (PyPI), o incidente destaca os riscos contínuos de compromissos na cadeia de suprimentos em ecossistemas de código aberto. Organizações devem implementar soluções de monitoramento e varredura de pacotes para detectar tais ameaças antes que se tornem persistentes.