sampanews.com
  • Cidades
  • Mundo
  • Política
  • Negócios
  • Esporte
  • Saúde
  • Cultura
  • Tecnologia
  • Auto

O que você está procurando?

Auto Cidades Cultura Economia Esporte Mundo Negócios

Recente

A Pior Vizinhança: Conheça as histórias reais da série da Netflix
8 de julho de 2026
Futebol, política e personagens improváveis: a Copa do Mundo até agora
8 de julho de 2026
Bateria de carro elétrico dura mais que o previsto; veja o que analisar nos usados
8 de julho de 2026
Assassin’s Creed Black Flag Resynced demonstra que o grande tesouro da franquia sempre esteve em alto mar
8 de julho de 2026
quarta-feira, julho 8, 2026
Top Posts
A Pior Vizinhança: Conheça as histórias reais da...
Futebol, política e personagens improváveis: a Copa do...
Bateria de carro elétrico dura mais que o...
Assassin’s Creed Black Flag Resynced demonstra que o...
Troca de tiros durante tentativa de assalto deixa...
Imagens do Motorola Edge 70 Max vazam antes...
Campinas registra 17ª morte por gripe em 2026;...
Demissões no Xbox afetaram drasticamennte a Id Software...
Homem é preso após exibir partes íntimas a...
Samsung confirma data de anúncio do Galaxy Z...
sampanews.com
Banner
  • Cidades
  • Mundo
  • Política
  • Negócios
  • Esporte
  • Saúde
  • Cultura
  • Tecnologia
  • Auto

O que você está procurando?

Auto Cidades Cultura Economia Esporte Mundo Negócios

Recente

A Pior Vizinhança: Conheça as histórias reais da série da Netflix
8 de julho de 2026
Futebol, política e personagens improváveis: a Copa do Mundo até agora
8 de julho de 2026
Bateria de carro elétrico dura mais que o previsto; veja o que analisar nos usados
8 de julho de 2026
Assassin’s Creed Black Flag Resynced demonstra que o grande tesouro da franquia sempre esteve em alto mar
8 de julho de 2026
sampanews.com

O que você está procurando?

Auto Cidades Cultura Economia Esporte Mundo Negócios

Recente

A Pior Vizinhança: Conheça as histórias reais da série da Netflix
8 de julho de 2026
Futebol, política e personagens improváveis: a Copa do Mundo até agora
8 de julho de 2026
Bateria de carro elétrico dura mais que o previsto; veja o que analisar nos usados
8 de julho de 2026
Assassin’s Creed Black Flag Resynced demonstra que o grande tesouro da franquia sempre esteve em alto mar
8 de julho de 2026
sampanews.com
  • Cidades
  • Mundo
  • Política
  • Negócios
  • Esporte
  • Saúde
  • Cultura
  • Tecnologia
  • Auto
Copyright 2026 - Todos os Direitos Reservados

Hackers russos transformaram falha do Office em arma de espionagem em 72 horas

por SampaNews 3 de fevereiro de 2026
3 de fevereiro de 2026
46

Servidores da Zscaler, empresa de cibersegurança, começaram a detectar algo incomum. Documentos do Microsoft Office aparentemente inofensivos estavam circulando por emails na Ucrânia, Eslováquia e Romênia. Tinham nomes como “Consultation_Topics_Ukraine(Final).doc”, “Courses.doc”, “BULLETEN_H.doc”. Pareciam relatórios de trabalho, material educacional, comunicações oficiais.

Mas quando abertos, esses arquivos transformavam computadores em postos de espionagem remotos controlados por hackers russos. Esses ataques aconteceram apenas três dias depois que a Microsoft divulgou publicamente a existência de uma falha de segurança em seu software, no que foi nomeada Operação Neusploit.

smart_display

Nossos vídeos em destaque

O cronômetro da vulnerabilidade

No dia 26 de janeiro, a Microsoft lançou uma atualização de segurança emergencial, fora do calendário normal de patches mensais. A falha foi catalogada como CVE-2026-21509 e o problema estava no modo como o Microsoft Office processava arquivos RTF.

A falha permitia que alguém criasse um arquivo RTF especial que, ao ser aberto, executasse código malicioso no computador da vítima. Não era necessário clicar em nenhum botão de confirmação ou aviso de segurança. Apenas abrir o arquivo já era suficiente. A Microsoft atribuiu à vulnerabilidade pontuação de 7.8 em gravidade (escala de 0 a 10).

Em 26 de janeiro, a Microsoft anunciou a vulnerabilidade e disponibilizou correção, no dia seguinte, os primeiros documentos maliciosos já estavam sendo criados. As pistas vieram de metadados, informações ocultas nos arquivos sobre quando foram criados.

No dia 29 de janeiro a Zscaler detecta os primeiros ataques ativos, com documentos maliciosos explorando a vulnerabilidade recém-anunciada.

Quem é o APT28?

APT28 é uma organização sofisticada financiada pelo governo russo. O termo “APT” significa “Advanced Persistent Threat” — Ameaça Persistente Avançada, grupos que fazem campanhas prolongadas e tecnicamente sofisticadas com objetivos de inteligência de Estado.

O APT28, também conhecido como UAC-0001, Fancy Bear e Strontium, tem histórico documentado de mais de uma década. Foram responsabilizados por ataques ao Comitê Nacional Democrata dos EUA em 2016, invasões à Agência Mundial Antidoping e inúmeras campanhas contra países do Leste Europeu.

A isca perfeita

Os alvos foram Ucrânia, Eslováquia e Romênia, países com relevância geopolítica para a Rússia. Os atacantes criaram documentos culturalmente apropriados em inglês, romeno, eslovaco e ucraniano, com títulos que sugeriam urgência profissional.

A equipe de resposta a emergências cibernéticas da Ucrânia (CERT-UA) revelou que mais de 60 endereços de email de autoridades executivas centrais do país foram especificamente alvejados — funcionários de alto escalão recebendo documentos personalizados.

O servidor inteligente

Quando uma vítima abria o documento RTF, o computador tentava baixar a próxima etapa do ataque de um servidor remoto. Mas os servidores dos hackers não distribuíam malware indiscriminadamente.

Eles verificavam duas coisas: primeiro, a localização geográfica através do endereço IP, confirmando se vinha da Ucrânia, Eslováquia ou Romênia. Segundo, o “User-Agent” — verificando se era um computador Windows real rodando Office legítimo, e não ferramentas de análise de segurança.

Essa seletividade dificulta que pesquisadores consigam amostras do malware e mantém a campanha no ar por mais tempo.

Dois caminhos, dois propósitos

Após a exploração inicial, o ataque se bifurcava em dois conjuntos diferentes de ferramentas.

O primeiro caminho instalava o MiniDoor, ferramenta com propósito único: roubar emails. O malware se integra ao Microsoft Outlook, modificando configurações de segurança através do Registro do Windows.

Ele desabilita a proteção contra macros maliciosas, desliga avisos de segurança e garante que o sistema de macros carregue automaticamente. Com essas mudanças, instala um projeto VBA que fica esperando.

Quando o usuário inicia o Outlook, o MiniDoor “acorda”, espera seis segundos e começa a vasculhar a caixa de entrada, lixo eletrônico, rascunhos e feeds RSS.

Para cada email encontrado, salva uma cópia completa, cria um novo email anexando o anterior e envia para dois endereços dos atacantes (um no Outlook, outro no Proton Mail). O email de saída é automaticamente deletado, eliminando evidências.

Para evitar duplicatas, marca cada email processado com propriedade invisível chamada “AlreadyForwarded”. Toda vez que um novo email chega, o malware executa a mesma rotina, os atacantes recebem emails praticamente no mesmo momento que a vítima.

O nome “MiniDoor” vem do fato de ser versão simplificada de outro malware chamado NotDoor, também atribuído ao APT28.

O segundo caminho é mais sofisticado. O PixyNetLoader instala múltiplos componentes e cria arquitetura em camadas com verificações de segurança.

Quando executa pela primeira vez, desempacota três payloads criptografados:

  • SplashScreen.png: Imagem de 234 KB que parece comum, mas esconde código malicioso através de esteganografia.
  • EhStoreShell.dll: Biblioteca com nome idêntico a componente legítimo do Windows.
  • office.xml: Arquivo com instruções para criar tarefa agendada do Windows.

Esses arquivos são colocados em locais que parecem relacionados a software legítimo da Microsoft — a imagem em pasta do OneDrive, a DLL em diretório do Windows Update, o XML em pasta de diagnósticos. Essa estratégia de “viver da terra” dificulta a detecção.

COM hijacking

A técnica de persistência usa “COM hijacking”. O malware modifica o registro para que, quando o sistema precisar usar determinado componente, carregue a DLL maliciosa em vez da legítima.

A DLL não quebra funcionalidades, implementa “DLL proxying” que redireciona chamadas para a DLL legítima enquanto executa código malicioso nos bastidores.

Antes de ativar, realiza verificações anti-análise. Por exemplo, ele confirma se foi carregada pelo explorer.exe e testa se a função Sleep() foi manipulada (comum em sandboxes). Se passar, extrai shellcode escondido na imagem PNG usando esteganografia LSB — técnica que substitui o último bit de cada byte da imagem por dados secretos, imperceptível ao olho humano.

O shellcode carrega um “Grunt” da framework Covenant, uma ferramenta de comando e controle originalmente criada para testes de segurança.

Abusando de serviços legítimos

O Grunt não se comunica diretamente com servidores dos atacantes. Usa a API do Filen, serviço legítimo de armazenamento em nuvem com foco em privacidade.

Os atacantes fazem upload de comandos para uma pasta específica no Filen. O Grunt verifica periodicamente, baixa instruções, executa e faz upload dos resultados. Os atacantes então baixam usando a mesma API.

Todo tráfego é HTTPS para domínio legítimo (filen.io), indistinguível de uso normal. Não há infraestrutura direta dos atacantes para bloquear — se uma conta for descoberta, criam outra.

Como sabemos que é o APT28?

A Zscaler atribui a campanha ao APT28 com “alta confiança” baseada em várias evidências, incluindo os alvos estratégicos alinhados com interesses russos, MiniDoor sendo versão simplificada de NotDoor (previamente atribuído ao APT28), técnicas recorrentes vistas em operações anteriores do grupo, velocidade operacional típica de Estado-nação, e padrões de infraestrutura conhecidos.

Acompanhe o TecMundo nas redes sociais. Inscreva-se em nosso canal do YouTube e newsletter para mais notícias de segurança e tecnologia.

autor de origem

Compartilhar 0 FacebookTwitterLinkedinWhatsapp
postagem anterior
Crise econômica atinge turismo de Cuba: número de visitantes caiu 17,8% em 2025
próxima postagem
"O Agente Secreto" será homenageado com bonecos gigantes em Olinda

Você também pode gostar

A Pior Vizinhança: Conheça as histórias reais da...

8 de julho de 2026

Assassin’s Creed Black Flag Resynced demonstra que o...

8 de julho de 2026

Imagens do Motorola Edge 70 Max vazam antes...

8 de julho de 2026

Demissões no Xbox afetaram drasticamennte a Id Software...

8 de julho de 2026

POSTS MAIS RECENTES

  • A Pior Vizinhança: Conheça as histórias reais da série da Netflix
  • Futebol, política e personagens improváveis: a Copa do Mundo até agora
  • Bateria de carro elétrico dura mais que o previsto; veja o que analisar nos usados
  • Assassin’s Creed Black Flag Resynced demonstra que o grande tesouro da franquia sempre esteve em alto mar
  • Troca de tiros durante tentativa de assalto deixa comerciante e suspeito baleados

Siga-nos

  • Recente
  • Popular
  • A Pior Vizinhança: Conheça as histórias reais da série da Netflix

    8 de julho de 2026
  • Futebol, política e personagens improváveis: a Copa do Mundo até agora

    8 de julho de 2026
  • Bateria de carro elétrico dura mais que o previsto; veja o que analisar nos usados

    8 de julho de 2026
  • Assassin’s Creed Black Flag Resynced demonstra que o grande tesouro da franquia sempre esteve em alto mar

    8 de julho de 2026
  • 1

    Assessor ⁠da Casa Branca diz que novo chair do Fed deve ser “uma pessoa independente”

    22 de janeiro de 2026
  • 2

    IPVA mais caro do Brasil custa R$ 1 milhão; veja o carro mais caro de cada estado

    20 de janeiro de 2026
  • 3

    ⁠Infantino tem razão? Será que o futebol não existiria em ‘150 países’ sem a FIFA?

    5 de abril de 2026
  • 4

    ⁠Infantino tem razão? Será que o futebol não existiria em ‘150 países’ sem a FIFA?

    5 de abril de 2026

Postagens em destaque

Imagens do Motorola Edge 70 Max vazam antes...

8 de julho de 2026

Campinas registra 17ª morte por gripe em 2026;...

8 de julho de 2026

Demissões no Xbox afetaram drasticamennte a Id Software...

8 de julho de 2026

Homem é preso após exibir partes íntimas a...

8 de julho de 2026

Samsung confirma data de anúncio do Galaxy Z...

8 de julho de 2026

Leitura obrigatória

  • A Pior Vizinhança: Conheça as histórias reais da série da Netflix

    8 de julho de 2026
  • Futebol, política e personagens improváveis: a Copa do Mundo até agora

    8 de julho de 2026
  • Bateria de carro elétrico dura mais que o previsto; veja o que analisar nos usados

    8 de julho de 2026
  • Assassin’s Creed Black Flag Resynced demonstra que o grande tesouro da franquia sempre esteve em alto mar

    8 de julho de 2026
  • Troca de tiros durante tentativa de assalto deixa comerciante e suspeito baleados

    8 de julho de 2026

Newsletter

Posts relacionados

  • A Pior Vizinhança: Conheça as histórias reais da série da Netflix

    8 de julho de 2026
  • Assassin’s Creed Black Flag Resynced demonstra que o grande tesouro da franquia sempre esteve em alto mar

    8 de julho de 2026
  • Imagens do Motorola Edge 70 Max vazam antes do lançamento

    8 de julho de 2026
  • Demissões no Xbox afetaram drasticamennte a Id Software e Obsidian

    8 de julho de 2026
  • Samsung confirma data de anúncio do Galaxy Z Fold 8 ‘Wide’; confira os detalhes

    8 de julho de 2026

Mais vistas da semana

Assessor ⁠da Casa Branca diz que novo chair do Fed deve ser “uma pessoa independente”
22 de janeiro de 2026
9 melhores filmes e séries para assistir na Netflix em julho
1 de julho de 2026
WhatsApp libera reserva de nome de usuário; veja como esconder o número
1 de julho de 2026

Postagens Aleatórias

Marshals: novo spin-off de Yellowstone mata personagem da série original
2 de março de 2026
Flávio diz que, se eleito, usará seu prestígio para reduzir maioridade penal
3 de maio de 2026
Anvisa manda recolher decoração de alimentos com plástico e glitter
19 de janeiro de 2026

Categorias Populares

  • Tecnologia (5.992)
  • Política (3.650)
  • Mundo (3.258)
  • Campinas (2.070)
  • Negócios (1.271)
  • Economia (1.255)
  • Auto (1.118)
  • Bragança Paulista (1.087)
  • Esporte (792)
  • Saúde (490)

Notícias de São Paulo e do mundo, em tempo real. Cobertura completa de política, economia, mercado, cidades e assuntos que importam — com contexto e credibilidade.

Facebook Twitter Instagram Linkedin Youtube

Copyright © 2026 SampaNews. Todos os Direitos Reservados.

  • Anuncie
  • Contato
  • Política de Privacidade
sampanews.com
  • Home