Lotuslite

Pesquisadores de cibersegurança identificaram uma nova variante do malware LOTUSLITE, que está sendo distribuído por meio de temas relacionados ao setor bancário da Índia. O malware, que se comunica com um servidor de comando e controle baseado em DNS dinâmico, permite acesso remoto, operações de arquivos e gerenciamento de sessões, indicando que seu uso está mais voltado para espionagem do que para objetivos financeiros. Anteriormente, o LOTUSLITE foi utilizado em ataques de spear-phishing direcionados a entidades governamentais dos EUA, com ligações a um grupo de estado-nação chinês conhecido como Mustang Panda. A nova campanha foca principalmente no setor bancário indiano, utilizando arquivos CHM que incorporam cargas maliciosas. O ataque começa com um arquivo CHM que contém um executável legítimo e uma DLL maliciosa, que, ao ser executada, se conecta a um domínio para receber comandos e exfiltrar dados. Além disso, foram encontrados artefatos semelhantes direcionados a entidades sul-coreanas, sugerindo uma ampliação do escopo de ataque do grupo. Essa evolução no uso do malware e a diversificação dos alvos ressaltam a necessidade de vigilância constante e medidas de segurança robustas, especialmente em setores críticos como o bancário.

Especialistas em segurança revelaram uma nova campanha de malware que visa entidades governamentais e políticas dos Estados Unidos, utilizando iscas temáticas relacionadas a desenvolvimentos geopolíticos entre os EUA e a Venezuela. O malware, conhecido como LOTUSLITE, é um backdoor que se infiltra em sistemas através de um arquivo ZIP malicioso intitulado ‘US now deciding what’s next for Venezuela.zip’, que contém uma DLL maliciosa lançada por técnicas de DLL side-loading. A atividade foi atribuída a um grupo patrocinado pelo Estado chinês, conhecido como Mustang Panda, que é reconhecido por utilizar extensivamente essas técnicas para implantar suas ferramentas. O LOTUSLITE, um implante em C++, se comunica com um servidor de comando e controle (C2) e permite atividades como execução remota de comandos e exfiltração de dados. Embora a campanha não tenha sido confirmada como bem-sucedida, ela destaca a eficácia de técnicas de phishing direcionado em um contexto geopolítico. A análise sugere que, apesar da falta de recursos avançados de evasão, a confiabilidade operacional do malware é uma preocupação significativa.