Powershell

Uma recente campanha de malware ilustra o uso contínuo de cadeias de infecção em múltiplas etapas para contornar controles de segurança e entregar o ladrão de informações FormBook. O ataque começa com um e-mail contendo um anexo ZIP, que se desdobra em uma sequência complexa de scripts ofuscados. O arquivo ZIP inicial contém um script em Visual Basic (VBS) que, apesar de sua aparência simples, possui camadas de ofuscação para ocultar seu verdadeiro propósito. O script inicia um loop de atraso e constrói um comando PowerShell, que é executado em um novo processo. A camada PowerShell é fortemente ofuscada, utilizando funções específicas para reconstruir e executar fragmentos de código malicioso. O script tenta baixar o próximo payload de um link do Google Drive, que é então injetado em um processo legítimo, resultando na execução de uma variante do FormBook. Este malware é projetado para coletar credenciais, capturas de tela e pressionamentos de tecla, comunicando-se com um servidor de comando e controle. A campanha destaca a importância de não limitar a engenharia reversa a binários executáveis, pois infecções modernas dependem de scripts leves e processos confiáveis para entregar payloads poderosos e furtivos.

Pesquisadores identificaram uma nova campanha do MastaStealer que utiliza arquivos de atalho do Windows (LNK) para executar comandos maliciosos em PowerShell e implantar um beacon de comando e controle (C2) em sistemas comprometidos. O ataque começa com um e-mail de spear-phishing que contém um arquivo ZIP com um arquivo .lnk malicioso. Ao ser executado, o atalho abre o Microsoft Edge em um domínio legítimo, anydesk[.]com, enquanto busca silenciosamente um payload secundário de um domínio semelhante, anydesck[.]net. Esse processo resulta no download de um instalador MSI malicioso que estabelece persistência e implanta o payload final. A análise do comportamento foi realizada através dos logs de eventos do Windows Installer, que indicaram falhas de instalação quando executadas sob contas não privilegiadas. O arquivo MSI cria uma pasta temporária e implanta um binário disfarçado de dwm.exe, que atua como beacon C2. Além disso, um comando PowerShell modifica as configurações do Windows Defender, permitindo que o malware opere sem ser detectado. A campanha destaca a eficácia contínua da exploração de arquivos LNK em ataques de engenharia social, exigindo que as organizações adotem medidas de mitigação, como o bloqueio de downloads MSI de fontes não confiáveis e a restrição da execução de arquivos LNK de anexos de e-mail.

Pesquisadores da Unit 42 identificaram uma nova família de malware chamada Airstalk, que ataca sistemas Windows utilizando APIs legítimas de gerenciamento de dispositivos móveis para estabelecer canais de comando e controle (C2) encobertos. O malware possui variantes em PowerShell e .NET, e há indícios de que um ator de estado-nação pode ter utilizado essa ameaça em ataques à cadeia de suprimentos. Airstalk se destaca por explorar a API AirWatch da VMware, agora conhecida como Workspace ONE Unified Endpoint Management, abusando de atributos de dispositivos personalizados e capacidades de upload de arquivos para criar um mecanismo de comunicação bidirecional com os atacantes.

Cibercriminosos estão utilizando vídeos do TikTok para disseminar malware sofisticado através de uma campanha de engenharia social que promete ativação gratuita de softwares, como o Photoshop. Pesquisadores de segurança identificaram diversos vídeos na plataforma, alguns com mais de 500 curtidas, que atraem vítimas com promessas de ativação gratuita. O ataque utiliza uma cadeia de infecção em múltiplas etapas, entregando o AuroStealer, um malware projetado para roubar informações sensíveis. A campanha instrui as vítimas a executar um comando PowerShell que baixa e executa um script malicioso. Este script, com uma pontuação de detecção de 17/63 no VirusTotal, baixa um segundo payload, o updater.exe, que é identificado como AuroStealer. O malware se torna persistente através de tarefas agendadas que se disfarçam como serviços legítimos do Windows. Além disso, uma técnica avançada de auto-compilação é utilizada, onde o código malicioso é compilado diretamente na máquina da vítima, dificultando a detecção por soluções antivírus. Pesquisadores descobriram vídeos adicionais promovendo ferramentas de ativação falsas para outros softwares populares, alertando os usuários a não executarem comandos PowerShell de fontes não confiáveis e a manterem suas proteções atualizadas.

Uma nova campanha de ciberataque envolvendo o SnakeKeylogger foi identificada, utilizando e-mails fraudulentos que se passam por comunicações da CPA Global e Clarivate. Os atacantes enviam anexos maliciosos em formatos ISO e ZIP, que, ao serem extraídos, revelam um script BAT que executa um comando PowerShell para baixar um segundo payload. O SnakeKeylogger, uma Trojan que rouba informações, registra as teclas digitadas, credenciais de navegadores e dados do sistema, enviando essas informações para um servidor de comando e controle (C2) via requisições HTTP disfarçadas. Para se proteger, as organizações devem implementar regras rigorosas de filtragem de e-mails, restringir a execução de scripts PowerShell e monitorar atividades anômalas em suas redes. Essa campanha destaca a evolução das ameaças de roubo de informações, que combinam engenharia social com scripts nativos do Windows, exigindo defesas em múltiplas camadas para mitigar riscos.

O grupo de ameaças Patchwork APT, também conhecido como Dropping Elephant, tem aprimorado suas técnicas de espionagem utilizando um carregador baseado em PowerShell. Este método envolve a criação de tarefas agendadas e ofuscação em múltiplas etapas para garantir persistência e furtividade. Desde 2015, o grupo tem como alvo organizações políticas e militares na Ásia, utilizando engenharia social em vez de exploits zero-day. O ataque começa com um documento de spear-phishing que ativa uma macro maliciosa, baixando um arquivo LNK que, ao ser executado, ativa um script PowerShell. Este script baixa um executável disfarçado de VLC e um DLL acompanhante, além de criar uma tarefa agendada para garantir que o carregador seja executado continuamente. O método fStage é utilizado para estabelecer comunicação criptografada com o servidor do atacante, coletando informações do sistema e enviando-as de volta. A exfiltração de dados é realizada através de técnicas de codificação e execução de comandos em um processo oculto. A arquitetura complexa deste ataque destaca a adaptabilidade do Patchwork, exigindo que as organizações mantenham suas soluções de segurança atualizadas e monitorem tarefas agendadas anômalas.

Uma nova variante de ransomware, chamada Yurei, foi identificada no cenário de cibercrime, com seu primeiro ataque registrado em 5 de setembro de 2025, visando uma empresa de alimentos no Sri Lanka. O grupo, que se expandiu rapidamente para vítimas na Índia e Nigéria, adota um modelo de dupla extorsão, criptografando dados e exfiltrando arquivos sensíveis para pressionar as vítimas durante as negociações de resgate.

Desenvolvido na linguagem Go, o ransomware Yurei se inspira no projeto open-source Prince-Ransomware, mas apresenta melhorias significativas, como o uso do modelo de concorrência do Go para acelerar a criptografia. Ele utiliza a cifra ChaCha20 para criptografar arquivos, gerando chaves únicas para cada um. No entanto, uma falha crítica herdada de seu predecessor é a não remoção das Cópias de Sombra de Volume, permitindo que as vítimas possam restaurar dados sem pagar o resgate.

O Centro de Inteligência de Ameaças S2W da Coreia do Sul revelou uma campanha sofisticada do grupo APT Kimsuky, apoiado pela Coreia do Norte, que utiliza repositórios do GitHub para hospedar e atualizar malware baseado em PowerShell. Os atacantes disfarçam arquivos LNK como faturas eletrônicas, criando backdoors persistentes e exfiltrando metadados sensíveis para repositórios controlados por eles. A intrusão começa com um arquivo ZIP contendo um atalho malicioso que, ao ser executado, baixa e executa um script PowerShell de um repositório privado no GitHub. Este script não apenas disfarça a atividade maliciosa, mas também coleta informações críticas do sistema, como endereço IP e versão do sistema operacional, enviando esses dados de volta para o repositório do atacante. A análise dos repositórios revelou a utilização de ferramentas de acesso remoto (RAT) e processos de monitoramento de área de transferência. Para mitigar essa ameaça, recomenda-se que equipes de segurança monitorem o tráfego da API do GitHub e implementem validações mais rigorosas de tokens do GitHub em scripts.

Pesquisadores de cibersegurança revelaram uma nova campanha de malware sofisticada que utiliza anúncios pagos em motores de busca, como o Google, para disseminar malware a usuários desavisados em busca de ferramentas populares, como o GitHub Desktop. A campanha, que começou a ser observada em dezembro de 2024, tem como alvo empresas de TI e desenvolvimento de software na Europa Ocidental. Os links maliciosos, disfarçados como commits legítimos do GitHub, redirecionam os usuários para um domínio falso, ‘gitpage[.]app’, onde um instalador de software malicioso de 128 MB é baixado. Este instalador é projetado para evitar a detecção por sandboxes de segurança devido ao seu tamanho e utiliza uma rotina de descriptografia que depende de uma unidade de processamento gráfico (GPU), chamada GPUGate. O malware executa scripts em PowerShell com privilégios de administrador, permitindo a adição de exclusões ao Microsoft Defender e a execução de tarefas agendadas para persistência. A análise sugere que os atacantes têm proficiência em russo, indicando uma possível origem russa. Além disso, a campanha está associada ao Atomic macOS Stealer, sugerindo uma abordagem multiplataforma. Este incidente destaca a necessidade de vigilância constante e de medidas de segurança robustas para proteger as organizações contra ameaças emergentes.

A campanha de malware ZipLine, monitorada pela Check Point Research, está transformando o cenário de ataques de engenharia social contra organizações críticas de manufatura e cadeia de suprimentos nos Estados Unidos. Diferente do phishing convencional, a ZipLine inicia com os atacantes enviando consultas através de formulários de contato corporativos, permitindo que a vítima inicie trocas de e-mails sem suspeitas. Após estabelecer um relacionamento, os atacantes introduzem motivos comerciais plausíveis e enviam um arquivo ZIP que contém arquivos legítimos e um arquivo LNK malicioso. Este arquivo aciona uma cadeia de execução em PowerShell que busca uma string específica, extrai um script embutido e o executa na memória, evitando a detecção de endpoints. O MixShell, um implante em memória, realiza operações de comando e controle via registros DNS, utilizando subdomínios especialmente criados para minimizar a visibilidade do tráfego. A campanha visa empresas de manufatura, biotecnologia, eletrônicos e energia, destacando a necessidade de monitoramento rigoroso das comunicações de entrada e a adoção de estratégias de detecção em múltiplas camadas para prevenir esses ataques avançados.