Resumo semanal dos ciberataques 15-21 de janeiro
VoidLink: a prova de que a era do malware avançado gerado por IA começou
Foi revelado o que é considerado o primeiro caso claramente documentado de uma estrutura de malware altamente sofisticada desenvolvida principalmente por inteligência artificial, conhecida como VoidLink. Os investigadores afirmam que o VoidLink marca um ponto de inflexão na evolução do desenvolvimento malicioso, pois demonstra como a IA pode acelerar consideravelmente a criação de ferramentas ofensivas avançadas quando utilizada por uma pessoa qualificada, em vez de atores inexperientes ou autores de malware comum. O VoidLink chamou inicialmente a atenção por sua grande maturidade técnica, seu design modular e seu modelo operacional flexível, que inclui compatibilidade com tecnologias como eBPF, rootkits de módulos do kernel Linux (LKM), capacidades de enumeração na cloud e módulos de pós-exploração. A estrutura evoluiu rapidamente do que parecia ser uma versão em desenvolvimento para se tornar uma plataforma de malware completa e extensível, com infraestrutura de comando e controlo e vários componentes funcionais.
Análise da campanha Evelyn Stealer dirigida a programadores de software
Foi publicada uma análise aprofundada de uma campanha de malware ativa dirigida a programadores de software através de extensões do Visual Studio Code (VSC) convertidas em armas, que distribuem um ladrão de informações de várias etapas conhecido como Evelyn Stealer. A campanha abusa do ecossistema de extensões confiáveis do VSC para obter a execução inicial nos sistemas dos developers, onde uma extensão maliciosa descarrega uma DLL de primeira fase que se faz passar por um componente legítimo do Lightshot. Essa DLL é carregada pelo executável genuíno do Lightshot e executa imediatamente um comando PowerShell oculto para descarregar e executar uma payload de segunda fase. O downloader implementa um controlo de execução baseado em mutex e exporta funções de aparência legítima para evitar suspeitas. A payload de segunda fase atua como um injetor de esvaziamento de processos que decifra e injeta a payload final do Evelyn Stealer num processo legítimo do Windows, grpconv.exe, utilizando a encriptação AES-256-CBC.
5 extensões maliciosas do Chrome permitem o roubo de sessões em sistemas ERP e RH empresariais
Investigadores de cibersegurança revelaram uma campanha coordenada que envolvia cinco extensões maliciosas do Google Chrome projetadas para permitir o roubo de sessões e suprimir os controlos de segurança em plataformas de recursos humanos e ERP de empresas. As extensões, instaladas coletivamente por mais de 2300 utilizadores, funcionam de forma complementar para extrair cookies de autenticação, bloquear o acesso a interfaces administrativas e de resposta a incidentes e roubar diretamente sessões autenticadas. Quatro das extensões são publicadas sob a mesma identidade de developer, databycloud1104, enquanto a quinta usa uma marca independente sob “Software Access”, mas todas compartilham padrões de infraestrutura, rotas API, estruturas de código e lógica de detecção de ferramentas de segurança idênticas, o que indica uma única operação coordenada em vez de uma atividade independente.
Técnicas anti-análise não documentadas no spyware para iOS “Predator”
A investigação sobre o software espião comercial Predator revelou técnicas de análise e notificação de erros não documentadas anteriormente integradas no seu implante iOS. O Predator, desenvolvido pela Intellexa e observado em campanhas de espionagem móvel, vai além do sigilo básico: quando a sua implementação falha num dispositivo alvo, ele não simplesmente para, mas envia códigos de erro detalhados para uma infraestrutura de comando e controlo (C2) que descrevem exatamente por que a tentativa foi abortada, como a presença de ferramentas de segurança, proxies HTTP ou outras condições ambientais hostis no dispositivo. Essa taxonomia de diagnóstico transforma cada invasão falhada em informação útil para o operador, o que pode aumentar o sucesso de campanhas futuras. A investigação mostra que esses códigos de erro fazem parte de um sistema anti-análise mais amplo que ajuda o Predator a reconhecer quando está a ser observado ou frustrado por ferramentas defensivas, incluindo alguns utilitários de segurança ou depuração.
Um ciberataque obriga um hospital belga a transferir pacientes em cuidados intensivos
Um ciberataque que afetou um importante grupo hospitalar da Bélgica provocou uma grave interrupção das operações de saúde e obrigou a transferência de pacientes críticos para outros centros médicos. O incidente, posteriormente descrito pelas autoridades e pelos media locais como um ataque de ransomware, levou o hospital a fechar proativamente todos os sistemas informáticos e servidores de seus campus como medida de precaução para conter a ameaça e evitar o possível comprometimento dos dados dos pacientes. Como consequência direta do encerramento, todas as cirurgias programadas foram canceladas, o serviço de urgências começou a funcionar a capacidade reduzida e os serviços móveis de emergência ficaram temporariamente inoperacionais.
