){kind=link}
Um novo malware identificado como AgingFly está sendo usado em ataques contra governos locais, hospitais e possivelmente representantes das Forças de Defesa da Ucrânia. O objetivo é roubar credenciais armazenadas em navegadores baseados em Chromium e no WhatsApp para Windows.
Os ataques foram detectados no mês passado pela equipe de resposta a incidentes do país, o CERT-UA, que atribuiu a campanha ao grupo de ameaças rastreado como UAC-0247.
smart_display
Nossos vídeos em destaque
Isca de ajuda humanitária dá início à cadeia de infecção
O ataque começa com um e-mail que se apresenta como uma oferta de ajuda humanitária, contendo um link que redireciona a vítima para um site legítimo comprometido via vulnerabilidade de cross-site scripting (XSS).
Funciona basicamente como uma falha que permite injetar código malicioso em páginas de terceiros. Há também o método que direciona a vítima para um site falso gerado com uma ferramenta de IA.
A partir daí, o alvo recebe um arquivo compactado contendo um atalho LNK. Esse arquivo ativa um manipulador HTA embutido, que se conecta a um servidor remoto para baixar e executar outro arquivo HTA.
O HTA exibe um formulário falso para distrair a vítima enquanto cria uma tarefa agendada em segundo plano. Essa tarefa baixa e executa um arquivo EXE que injeta shellcode em um processo legítimo do sistema.
)
Os invasores seguem com um carregador de duas etapas: a segunda usa um formato executável personalizado, e a carga final chega compactada e criptografada. O CERT-UA observa que stagers como um shell reverso TCP ou o RAVENSHELL podem ser usados nessa fase para estabelecer conexão com o servidor de comando e controle.
Ferramentas legítimas de segurança usadas para roubar dados
Após investigar mais de uma dúzia de incidentes, os pesquisadores identificaram que o grupo usa a ferramenta de segurança de código aberto ChromElevator. Ela serve para extrair cookies, senhas salvas e outros dados confidenciais de navegadores como Chrome, Edge e Brave — sem precisar de privilégios de administrador.
Para o WhatsApp, os invasores recorrem ao ZAPiDESK, uma ferramenta forense de código aberto capaz de descriptografar os bancos de dados do aplicativo.
)
O grupo também realiza reconhecimento de rede e tenta se mover lateralmente usando utilitários públicos. O primeiro é o scanner de portas RustScan, além das ferramentas de tunelamento Ligolo-ng e Chisel.
Malware compila seus próprios comandos em tempo real
O AgingFly é escrito em C# e oferece aos operadores controle remoto, execução de comandos, exfiltração de arquivos, captura de tela, registro de teclas digitadas e execução de código arbitrário. A comunicação com o servidor C2 ocorre via WebSockets, com tráfego criptografado por AES-CBC usando uma chave estática.
O que diferencia o AgingFly de malwares similares é a ausência de manipuladores de comando embutidos no código. Em vez de já vir com funcionalidades fixas, o malware recebe o código-fonte dos comandos diretamente do servidor C2 e os compila dinamicamente em tempo de execução no próprio sistema da vítima.
)
Isso porque a abordagem permite uma carga inicial menor, facilita a atualização de funcionalidades sob demanda e dificulta a detecção por análise estática, que examina o arquivo sem executá-lo.
A contrapartida é maior complexidade operacional, dependência da conectividade com o C2 e maior consumo de memória durante a execução, o que paradoxalmente aumenta o risco de detecção comportamental.
O CERT-UA recomenda bloquear a execução de arquivos com as extensões LNK, HTA e JS como medida para interromper a cadeia de ataque dessa campanha.
Acompanhe o TecMundo nas redes sociais. Para mais notícias de segurança e tecnologia, inscreva-se em nossa newsletter e canal do YouTube.