O primeiro trimestre de 2025 foi um campo de batalha no mundo da segurança cibernética. Os criminosos cibernéticos continuaram lançando novas campanhas agressivas e refinando seus métodos de ataque.

Abaixo está uma visão geral de cinco famílias de malware notáveis, acompanhada de análises conduzidas em ambientes controlados.

NetSupport RAT explorando a técnica ClickFix

No início de 2025, agentes de ameaças começaram a explorar uma técnica conhecida como ClickFix para distribuir o NetSupport Remote Access Trojan (RAT).

Esse método envolve a injeção de páginas CAPTCHA falsas em sites comprometidos, solicitando que os usuários executem comandos maliciosos do PowerShell que baixam e executam o NetSupport RAT.

Uma vez instalado, este RAT concede aos invasores controle total sobre o sistema da vítima, permitindo atividades como monitoramento de tela em tempo real, manipulação de arquivos e execução de comandos arbitrários.

Principais características técnicas do NetSupport RAT

• Os invasores podem visualizar e controlar a tela da vítima em tempo real.
• Carrega, baixa, modifica e exclui arquivos no sistema infectado.
• Executa comandos do sistema e scripts do PowerShell remotamente.
• Captura texto copiado, incluindo senhas e dados confidenciais.
• Registra as teclas digitadas pelo usuário para roubo de credenciais.
• Inicia, interrompe e modifica processos e serviços do sistema.
• Instala-se em pastas de inicialização, chaves de registro ou tarefas agendadas para sobreviver a reinicializações.
• Usa injeção de processo e ofuscação de código para evitar detecção.
• Mantém uma conexão furtiva com invasores usando tráfego criptografado.

O NetSupport RAT emprega várias Táticas, Técnicas e Procedimentos (TTPs) para manter a persistência, evitar a detecção e coletar dados do sistema. Os principais TTPs incluem:

• Persistência e execução: modifica chaves de inicialização do registro e executa scripts via wscript.exe.
• Descoberta: lê o nome do computador, verifica o idioma do sistema e acessa variáveis ​​de ambiente.
• Evasão de Defesa e Comunicação C2: Remove executáveis ​​legítimos do Windows e cria objetos de conexão com a Internet para controle remoto.

Ransomware lince

O grupo Lynx Ransomware-as-a-Service (RaaS) é conhecido como uma entidade altamente organizada, oferecendo um programa de afiliados estruturado e métodos de criptografia robustos. Com base na fundação do ransomware INC anterior, o Lynx aprimorou suas capacidades e expandiu seu alcance, mirando uma gama diversificada de indústrias em vários países.

O painel de afiliados da Lynx permite que seus afiliados configurem perfis de vítimas, gerem amostras personalizadas de ransomware e gerenciem cronogramas de vazamento de dados em uma interface amigável. Por causa de sua abordagem estruturada, ele se torna um dos ransomwares mais acessíveis, mesmo para aqueles com conhecimento técnico limitado.

Para incentivar a participação, a Lynx oferece aos afiliados uma participação de 80% nos lucros do resgate. O grupo mantém um site de vazamento onde dados roubados são publicados se as vítimas não pagarem o resgate.

Principais ataques de Lynx no primeiro trimestre

No primeiro trimestre de 2025, o grupo Lynx Ransomware-as-a-Service (RaaS) intensificou suas operações, visando vários setores com ataques sofisticados.

Particularmente, em fevereiro de 2025, a Lynx assumiu a responsabilidade pela violação da Brown and Hurley, uma importante concessionária de caminhões australiana. O grupo alegou o roubo de aproximadamente 170 gigabytes de dados confidenciais, incluindo documentos de recursos humanos, contratos comerciais, informações de clientes e registros financeiros.

Em janeiro de 2025, a Lynx também violou a Hunter Taubman Fischer & Li LLC, um escritório de advocacia sediado nos EUA especializado em direito corporativo e de valores mobiliários.

Principais características técnicas do ransomware Lynx

• Criptografa todos os arquivos por padrão, incluindo unidades locais, compartilhamentos de rede e mídia removível.
• Configurável via RaaS para direcionar tipos de arquivos, pastas ou extensões específicas.
• Rouba dados confidenciais antes da criptografia, exfiltrando documentos, credenciais e informações financeiras.
• Transfere dados roubados por canais criptografados, como HTTPS ou protocolos de comunicação personalizados.
• Exclui cópias de sombra de volume e desabilita os recursos de recuperação do Windows para impedir a restauração.
• Fecha aplicativos que podem bloquear a criptografia usando o RestartManager.
• Utiliza técnicas de despejo de credenciais para extrair senhas armazenadas de navegadores, do Windows Credential Manager e de dispositivos em rede.
• Mantém uma conexão C2 com domínios baseados em DGA e tráfego anonimizado via Tor.
• Detecta VMs e sandboxes, alterando o comportamento para evitar análises.
• É executado na memória sem gravar arquivos no disco, evitando detecção.

Podemos observar o comportamento do Lynx Ransomware em primeira mão em um ambiente controlado. Na análise do sandbox, após executar o payload do Lynx, o sistema infectado passa por várias mudanças perceptíveis.

AsyncRAT: Aproveitando Payloads Python e Túneis TryCloudflare

No início de 2025, pesquisadores de segurança cibernética descobriram uma campanha de malware sofisticada implantando o AsyncRAT, um trojan de acesso remoto conhecido por seus recursos de comunicação assíncrona e eficientes.

Esta campanha se destaca pelo uso de payloads baseados em Python e pela exploração de túneis TryCloudflare para aumentar a discrição e a persistência.

Visão geral da cadeia de infecção

O ataque inicia com um e-mail de phishing contendo uma URL do Dropbox. Quando os destinatários clicam no link, eles baixam um arquivo ZIP que abriga um arquivo de atalho da internet (URL).

Este arquivo, por sua vez, recupera um arquivo de atalho do Windows (LNK) por meio de uma URL TryCloudflare. Executar o arquivo LNK aciona uma série de scripts, PowerShell, JavaScript e scripts em lote, que baixam e executam uma carga útil Python.

Essa carga é responsável por implantar diversas famílias de malware, incluindo AsyncRAT, Venom RAT e XWorm.

Características técnicas do AsyncRAT

• Permite que invasores executem comandos, monitorem a atividade do usuário e gerenciem arquivos no sistema comprometido.
• Capaz de roubar informações confidenciais, incluindo credenciais e dados pessoais.
• Emprega técnicas para manter o acesso de longo prazo, como modificar registros do sistema e utilizar pastas de inicialização.
• Usa ofuscação e criptografia para evitar a detecção por soluções de segurança.

Lumma Stealer: Distribuição baseada em GitHub

No início de 2025, especialistas em segurança cibernética descobriram uma campanha sofisticada envolvendo o Lumma Stealer, um malware para roubo de informações.

Os invasores usaram a infraestrutura de lançamento do GitHub para distribuir esse malware, explorando a confiabilidade da plataforma para contornar medidas de segurança.

Uma vez executado, o Lumma Stealer inicia atividades maliciosas adicionais, incluindo o download e a execução de outras ameaças como SectopRAT, Vidar, Cobeacon e variantes adicionais do Lumma Stealer.

Características técnicas do Lumma Stealer

• Distribuído por meio de versões do GitHub, aproveitando infraestrutura confiável para evitar detecção de segurança.
• Rouba credenciais do navegador, cookies, carteiras de criptomoedas e informações do sistema.
• Envia dados roubados para servidores remotos, permitindo exfiltração em tempo real.
• Pode baixar e executar malware adicional, incluindo SectopRAT, Vidar e Cobeacon.
• Usa modificações de registro e entradas de inicialização para manter o acesso.
• Detectável por meio de ferramentas de monitoramento de segurança baseadas em rede, revelando padrões de comunicação maliciosos.

InvisibleFerret: A ameaça silenciosa que espreita em falsas ofertas de emprego

Em uma onda de ataques de engenharia social, os cibercriminosos têm aproveitado o InvisibleFerret, um malware furtivo baseado em Python, para comprometer vítimas desavisadas.

Disfarçado como software legítimo em processos falsos de entrevistas de emprego, esse malware tem sido usado ativamente em campanhas de entrevistas falsas, nas quais invasores se passam por recrutadores para induzir profissionais a baixar ferramentas maliciosas.

Características técnicas do InvisibleFerret

• O malware utiliza scripts Python desorganizados e ofuscados, tornando a análise e a detecção desafiadoras.
• O InvisibleFerret busca e extrai ativamente informações confidenciais, incluindo código-fonte, carteiras de criptomoedas e arquivos pessoais.
• Frequentemente entregue como uma carga secundária por outro malware chamado BeaverTail , que é um infostealer e carregador ofuscado baseado em JavaScript.
• O malware estabelece persistência no sistema infectado, garantindo acesso e controle contínuos.

Um elemento-chave do ataque InvisibleFerret é a implantação do BeaverTail, um módulo NPM malicioso que fornece um ambiente Python portátil (p.zip) para executar o malware.

Atuando como o primeiro estágio em uma cadeia de ataque multicamadas, o BeaverTail configura o InvisibleFerret, um backdoor furtivo com mecanismos avançados de ofuscação e persistência, dificultando a detecção.

Não deixe que as ameaças passem despercebidas

O primeiro trimestre de 2025 foi repleto de ameaças cibernéticas furtivas e agressivas, de operações de ransomware a ladrões silenciosos de dados. Mas os invasores não precisam vencer.

Um sandbox interativo dá às empresas o poder de analisar malware em tempo real, descobrir comportamentos ocultos e fortalecer as defesas antes que um ataque se agrave.

Com a Xlogic, as equipes de segurança podem:

• Reúna IOCs instantaneamente para acelerar a busca por ameaças e a resposta a incidentes.
• Obtenha relatórios estruturados e detalhados para melhor visibilidade do comportamento do malware.
• Mapeie ameaças à estrutura ATT&CK para entender táticas e técnicas usadas pelos invasores.
• Colabore perfeitamente, compartilhando análises em tempo real entre as equipes.

AUTOR: FELIPE SANTANA

REFERÊNCIAS:

https://thehackernews.com/2025/02/5-active-malware-campaigns-in-q1-2025.html