Laboratório de ameaças detecta malware com comando e controle via Telegram

Durante a análise da equipe do Netskope Threat Labs, foi descoberto um payload aparentemente ainda em desenvolvimento, mas já totalmente funcional. Todos os IoCs e scripts relacionados a esse malware podem ser encontrados no repositório GitHub

Compartilhar:

A equipe do Netskope Threat Labs identificou um Indicador de Comprometimento (IoC) compartilhado por outros pesquisadores e decidiu investigar mais a fundo. Durante a análise, foi descoberto um payload aparentemente ainda em desenvolvimento, mas já totalmente funcional.

 

O malware, compilado em Golang (linguagem de programação criada pela Google), age como um meio de acesso não autorizado que burla a segurança (backdoor) e usa o Telegram como seu canal de comando e controle (C2).

 

“Embora o uso de aplicações de nuvem como canais C2 não seja algo frequente, é um método muito eficaz usado por invasores. Primeiro porque elimina a necessidade de implementar uma infraestrutura inteira para isso, o que facilita a vida deles, e também porque é muito difícil, sob a perspectiva da defesa, diferenciar o que é um usuário normal usando uma API e o que é uma ameaça executando comandos”, explica Leandro Fróes, especialista brasileiro e pesquisador do Netskope Threat Labs.

 

As aplicações de nuvem OneDrive, GitHub, DropBox, são exemplos que também podem dificultar a detecção por equipes de segurança, caso sejam se atacados ​​de forma semelhante. Todos os IoCs e scripts relacionados a esse malware podem ser encontrados no repositório GitHub.

 

PDFs maliciosos

Ainda nesta semana, o Netskope Threat Labs descobriu uma campanha de phishing que explora Webflow, SEO e CAPTCHAs falsos para fraudes em cartões de crédito.

 

Os criminosos cibernéticos estão mirando vítimas que procuram documentos em mecanismos de busca para desviar suas informações financeiras e pessoais. Eles usam técnicas de SEO para atrair as vítimas a acessar arquivos PDF maliciosos hospedados no Webflow CDN, que contêm uma imagem CAPTCHA falsa.

 

Os links de phishing são incorporados na imagem CAPTCHA falsa para redirecionar ao site falso. Os invasores usam o Cloudflare Turnstile para enganar as vítimas, que acreditam que estão usando um CAPTCHA legítimo, ao mesmo tempo em que protegem suas páginas de phishing das varreduras de segurança.

 

Destaques

Colunas & Blogs

Conteúdos Relacionados

Security Report | Overview

IA acelera ataques virtuais e amplia exigência por Segurança preventiva, aponta threat intel

Check Point e OpenAI expandem parceria estratégica para embutir modelos cibernéticos avançados diretamente nas ferramentas de proteção corporativa, combatendo o...
Security Report | Overview

Disparo falso da Defesa Civil: O que incidente representa de risco de credenciais roubadas

Uso de acessos legítimos respondeu por 25% dos vetores de entrada em ataques globais investigados pela empresa; especialistas explicam como...
Security Report | Overview

CNCiber lança modelo para avaliar maturidade de SI nacional 

Desenvolvido pelo Comitê Nacional de Cibersegurança, o modelo CIMBRA medirá a resiliência digital do país nas vertentes nacional e institucional,...
Security Report | Overview

Digitalização e IA tornam a resiliência de dados estratégica para as PMEs

Veeam destaca que pequenas e médias empresas precisam de proteção e recuperação de dados de nível corporativo com simplicidade operacional...