sampanews.com
  • Cidades
  • Mundo
  • Política
  • Negócios
  • Esporte
  • Saúde
  • Cultura
  • Tecnologia
  • Auto

O que você está procurando?

Auto Cidades Cultura Economia Esporte Mundo Negócios

Recente

VÍDEO: Guarda é flagrado dizendo “eu nem vi vocês aqui” em encontro na ‘Rua do Grau’; Corregedoria investiga
17 de julho de 2026
Com gol no último lance, Botafogo bate Santos na volta do Brasileirão
17 de julho de 2026
Corpo de jovem morta em acidente com Porsche é liberado seis dias após tragédia
17 de julho de 2026
Centro Cultural São Paulo exibe a 15ª edição do Cine na Praça
17 de julho de 2026
sexta-feira, julho 17, 2026
Top Posts
VÍDEO: Guarda é flagrado dizendo “eu nem vi...
Com gol no último lance, Botafogo bate Santos...
Corpo de jovem morta em acidente com Porsche...
Centro Cultural São Paulo exibe a 15ª edição...
MG4 Urban: preços, versões, equipamentos e autonomia do...
The Duskbloods poderá ser jogado de graça em...
História da Razer: como a marca virou uma...
Homem morre após troca de tiros com policiais...
AMD lança Ryzen 7 7700X3D com performance forte...
BRT Central: veja como vai funcionar o sistema...
sampanews.com
Banner
  • Cidades
  • Mundo
  • Política
  • Negócios
  • Esporte
  • Saúde
  • Cultura
  • Tecnologia
  • Auto

O que você está procurando?

Auto Cidades Cultura Economia Esporte Mundo Negócios

Recente

VÍDEO: Guarda é flagrado dizendo “eu nem vi vocês aqui” em encontro na ‘Rua do Grau’; Corregedoria investiga
17 de julho de 2026
Com gol no último lance, Botafogo bate Santos na volta do Brasileirão
17 de julho de 2026
Corpo de jovem morta em acidente com Porsche é liberado seis dias após tragédia
17 de julho de 2026
Centro Cultural São Paulo exibe a 15ª edição do Cine na Praça
17 de julho de 2026
sampanews.com

O que você está procurando?

Auto Cidades Cultura Economia Esporte Mundo Negócios

Recente

VÍDEO: Guarda é flagrado dizendo “eu nem vi vocês aqui” em encontro na ‘Rua do Grau’; Corregedoria investiga
17 de julho de 2026
Com gol no último lance, Botafogo bate Santos na volta do Brasileirão
17 de julho de 2026
Corpo de jovem morta em acidente com Porsche é liberado seis dias após tragédia
17 de julho de 2026
Centro Cultural São Paulo exibe a 15ª edição do Cine na Praça
17 de julho de 2026
sampanews.com
  • Cidades
  • Mundo
  • Política
  • Negócios
  • Esporte
  • Saúde
  • Cultura
  • Tecnologia
  • Auto
Copyright 2026 - Todos os Direitos Reservados

AgingFly: malware rouba dados do Chrome e WhatsApp na Ucrânia

por SampaNews 16 de abril de 2026
16 de abril de 2026
35

Um novo malware identificado como AgingFly está sendo usado em ataques contra governos locais, hospitais e possivelmente representantes das Forças de Defesa da Ucrânia. O objetivo é roubar credenciais armazenadas em navegadores baseados em Chromium e no WhatsApp para Windows.

Os ataques foram detectados no mês passado pela equipe de resposta a incidentes do país, o CERT-UA, que atribuiu a campanha ao grupo de ameaças rastreado como UAC-0247.

smart_display

Nossos vídeos em destaque

Isca de ajuda humanitária dá início à cadeia de infecção

O ataque começa com um e-mail que se apresenta como uma oferta de ajuda humanitária, contendo um link que redireciona a vítima para um site legítimo comprometido via vulnerabilidade de cross-site scripting (XSS).

À esquerda, conversa no aplicativo Yar usada como vetor de distribuição; ao centro e à direita, trecho do código-fonte do AgingFly em C# com os métodos de controle remoto e a chave de criptografia AES hardcoded. Imagem: CERT-UA.

Funciona basicamente como uma falha que permite injetar código malicioso em páginas de terceiros. Há também o método que direciona a vítima para um site falso gerado com uma ferramenta de IA.

A partir daí, o alvo recebe um arquivo compactado contendo um atalho LNK. Esse arquivo ativa um manipulador HTA embutido, que se conecta a um servidor remoto para baixar e executar outro arquivo HTA.

O HTA exibe um formulário falso para distrair a vítima enquanto cria uma tarefa agendada em segundo plano. Essa tarefa baixa e executa um arquivo EXE que injeta shellcode em um processo legítimo do sistema.

agingfly (1).png
Visão geral da cadeia de infecção do AgingFly: e-mail com isca judicial, execução do HTA via mshta.exe, tarefa agendada OneDriveUpdater e conexão WebSocket com o servidor C2. Imagem: CERT-UA.

Os invasores seguem com um carregador de duas etapas: a segunda usa um formato executável personalizado, e a carga final chega compactada e criptografada. O CERT-UA observa que stagers como um shell reverso TCP ou o RAVENSHELL podem ser usados nessa fase para estabelecer conexão com o servidor de comando e controle.

Ferramentas legítimas de segurança usadas para roubar dados

Após investigar mais de uma dúzia de incidentes, os pesquisadores identificaram que o grupo usa a ferramenta de segurança de código aberto ChromElevator. Ela serve para extrair cookies, senhas salvas e outros dados confidenciais de navegadores como Chrome, Edge e Brave — sem precisar de privilégios de administrador.

Para o WhatsApp, os invasores recorrem ao ZAPiDESK, uma ferramenta forense de código aberto capaz de descriptografar os bancos de dados do aplicativo.

agingfly (2).png
Troca de e-mails entre a vítima e o remetente malicioso se passando pelo fundo “УкрВарта”; os invasores conduzem a conversa até enviar um link para download do arquivo armado. Imagem: CERT-UA.

O grupo também realiza reconhecimento de rede e tenta se mover lateralmente usando utilitários públicos. O primeiro é o scanner de portas RustScan, além das ferramentas de tunelamento Ligolo-ng e Chisel.

Malware compila seus próprios comandos em tempo real

O AgingFly é escrito em C# e oferece aos operadores controle remoto, execução de comandos, exfiltração de arquivos, captura de tela, registro de teclas digitadas e execução de código arbitrário. A comunicação com o servidor C2 ocorre via WebSockets, com tráfego criptografado por AES-CBC usando uma chave estática.

O que diferencia o AgingFly de malwares similares é a ausência de manipuladores de comando embutidos no código. Em vez de já vir com funcionalidades fixas, o malware recebe o código-fonte dos comandos diretamente do servidor C2 e os compila dinamicamente em tempo de execução no próprio sistema da vítima.

agingfly (3).png
Exemplo de e-mail de phishing usado pelo UAC-0247, com o código malicioso do arquivo HTA exposto ao lado; a isca imita comunicado oficial sobre restrições de internet móvel na Ucrânia. Imagem: CERT-UA.

Isso porque a abordagem permite uma carga inicial menor, facilita a atualização de funcionalidades sob demanda e dificulta a detecção por análise estática, que examina o arquivo sem executá-lo.

A contrapartida é maior complexidade operacional, dependência da conectividade com o C2 e maior consumo de memória durante a execução, o que paradoxalmente aumenta o risco de detecção comportamental.

O CERT-UA recomenda bloquear a execução de arquivos com as extensões LNK, HTA e JS como medida para interromper a cadeia de ataque dessa campanha.

Acompanhe o TecMundo nas redes sociais. Para mais notícias de segurança e tecnologia, inscreva-se em nossa newsletter e canal do YouTube.

autor de origem

Compartilhar 0 FacebookTwitterLinkedinWhatsapp
postagem anterior
Homem é preso após atirar em torcedor na sub-sede da Gaviões da Fiel
próxima postagem
Governo admite transição para fim da escala 6×1, mas descarta desoneração

Você também pode gostar

The Duskbloods poderá ser jogado de graça em...

17 de julho de 2026

História da Razer: como a marca virou uma...

16 de julho de 2026

AMD lança Ryzen 7 7700X3D com performance forte...

16 de julho de 2026

Vírus inédito usa IA para atacar agências governamentais...

16 de julho de 2026

POSTS MAIS RECENTES

  • VÍDEO: Guarda é flagrado dizendo “eu nem vi vocês aqui” em encontro na ‘Rua do Grau’; Corregedoria investiga
  • Com gol no último lance, Botafogo bate Santos na volta do Brasileirão
  • Corpo de jovem morta em acidente com Porsche é liberado seis dias após tragédia
  • Centro Cultural São Paulo exibe a 15ª edição do Cine na Praça
  • MG4 Urban: preços, versões, equipamentos e autonomia do novo rival de Geely EX2 e BYD Dolphin

Siga-nos

  • Recente
  • Popular
  • VÍDEO: Guarda é flagrado dizendo “eu nem vi vocês aqui” em encontro na ‘Rua do Grau’; Corregedoria investiga

    17 de julho de 2026
  • Com gol no último lance, Botafogo bate Santos na volta do Brasileirão

    17 de julho de 2026
  • Corpo de jovem morta em acidente com Porsche é liberado seis dias após tragédia

    17 de julho de 2026
  • Centro Cultural São Paulo exibe a 15ª edição do Cine na Praça

    17 de julho de 2026
  • 1

    Assessor ⁠da Casa Branca diz que novo chair do Fed deve ser “uma pessoa independente”

    22 de janeiro de 2026
  • 2

    IPVA mais caro do Brasil custa R$ 1 milhão; veja o carro mais caro de cada estado

    20 de janeiro de 2026
  • 3

    ⁠Infantino tem razão? Será que o futebol não existiria em ‘150 países’ sem a FIFA?

    5 de abril de 2026
  • 4

    ⁠Infantino tem razão? Será que o futebol não existiria em ‘150 países’ sem a FIFA?

    5 de abril de 2026

Postagens em destaque

The Duskbloods poderá ser jogado de graça em...

17 de julho de 2026

História da Razer: como a marca virou uma...

16 de julho de 2026

Homem morre após troca de tiros com policiais...

16 de julho de 2026

AMD lança Ryzen 7 7700X3D com performance forte...

16 de julho de 2026

BRT Central: veja como vai funcionar o sistema...

16 de julho de 2026

Leitura obrigatória

  • VÍDEO: Guarda é flagrado dizendo “eu nem vi vocês aqui” em encontro na ‘Rua do Grau’; Corregedoria investiga

    17 de julho de 2026
  • Com gol no último lance, Botafogo bate Santos na volta do Brasileirão

    17 de julho de 2026
  • Corpo de jovem morta em acidente com Porsche é liberado seis dias após tragédia

    17 de julho de 2026
  • Centro Cultural São Paulo exibe a 15ª edição do Cine na Praça

    17 de julho de 2026
  • MG4 Urban: preços, versões, equipamentos e autonomia do novo rival de Geely EX2 e BYD Dolphin

    17 de julho de 2026

Newsletter

Posts relacionados

  • The Duskbloods poderá ser jogado de graça em agosto! Veja as datas dos testes

    17 de julho de 2026
  • História da Razer: como a marca virou uma gigante gamer

    16 de julho de 2026
  • AMD lança Ryzen 7 7700X3D com performance forte para games

    16 de julho de 2026
  • Vírus inédito usa IA para atacar agências governamentais no Brasil

    16 de julho de 2026
  • God of War Ragnarök e mais jogos para PS4 e PS5 com até 90% OFF na PS Store

    16 de julho de 2026

Mais vistas da semana

Índia apreende três petroleiros ligados ao Irã e sancionados pelos EUA
16 de fevereiro de 2026
⁠Infantino tem razão? Será que o futebol não existiria em ‘150 países’ sem a FIFA?
5 de abril de 2026
⁠Infantino tem razão? Será que o futebol não existiria em ‘150 países’ sem a FIFA?
5 de abril de 2026

Postagens Aleatórias

Motorola vaza Moto G87 sem querer com suporte a microSD de até 2 TB de espaço
22 de abril de 2026
Revalida 2026/1: divulgado resultado final da primeira etapa do exame
12 de julho de 2026
PT critica delações e diz que Moraes deve ‘ter seus motivos’ para desengavetar ação
10 de abril de 2026

Categorias Populares

  • Tecnologia (6.292)
  • Política (3.650)
  • Mundo (3.258)
  • Campinas (2.197)
  • Negócios (1.271)
  • Economia (1.255)
  • Auto (1.173)
  • Bragança Paulista (1.154)
  • Esporte (841)
  • Saúde (515)

Notícias de São Paulo e do mundo, em tempo real. Cobertura completa de política, economia, mercado, cidades e assuntos que importam — com contexto e credibilidade.

Facebook Twitter Instagram Linkedin Youtube

Copyright © 2026 SampaNews. Todos os Direitos Reservados.

  • Anuncie
  • Contato
  • Política de Privacidade
sampanews.com
  • Home