Uac-0247

Uma nova família de malware chamada ‘AgingFly’ foi identificada em ataques direcionados a governos locais e hospitais na Ucrânia, com o objetivo de roubar dados de autenticação de navegadores baseados em Chromium e do WhatsApp. Os ataques foram detectados pelo CERT-UA, que atribuiu a responsabilidade a um grupo de ameaças cibernéticas conhecido como UAC-0247. O vetor de ataque começa com um e-mail que simula uma oferta de ajuda humanitária, levando a vítima a clicar em um link que redireciona para um site legítimo comprometido ou um site falso gerado por uma ferramenta de IA. Após o download de um arquivo comprimido, o malware é executado, utilizando técnicas como injeção de shellcode e comunicação com um servidor de comando e controle (C2) via WebSockets. O AgingFly se destaca por compilar comandos em tempo real a partir de código-fonte recebido, o que dificulta a detecção. O CERT-UA recomenda que usuários bloqueiem a execução de arquivos LNK, HTA e JS para interromper a cadeia de ataque. Este incidente representa um risco significativo, especialmente para organizações que utilizam tecnologias semelhantes às atacadas.