Pesquisadores de cibersegurança revelaram um ator de ameaças até então desconhecido, conhecido como Water Curse, que depende de repositórios no GitHub armados para entregar malware em múltiplas etapas.
"O malware possibilita a exfiltração de dados (incluindo credenciais, dados de navegadores e tokens de sessão), acesso remoto e persistência de longo prazo em sistemas infectados", declararam os pesquisadores da Trend Micro, Jovit Samaniego, Aira Marcelo, Mohamed Fahmy e Gabriel Nicoleta, em uma análise publicada esta semana.
A campanha, considerada "ampla e sustentada", detectada pela primeira vez no mês passado, configurou repositórios que ofereciam utilitários de testes de penetração aparentemente inócuos, mas que abrigavam em seus arquivos de configuração do projeto Visual Studio payloads maliciosos, como um email bomber SMTP e Sakura-RAT.
O arsenal de Water Curse incorpora uma ampla gama de ferramentas e linguagens de programação, destacando suas capacidades de desenvolvimento multifuncionais para atacar a cadeia de suprimentos com "ladrões de informações orientados para desenvolvedores que confundem os limites entre ferramentas de equipe de ataque (red team) e a distribuição ativa de malware".
"Após a execução, os payloads iniciavam cadeias de infecção multietapa complexas utilizando scripts ofuscados escritos em Visual Basic Script (VBS) e PowerShell", disseram os pesquisadores.
Esses scripts baixavam arquivos criptografados, extraíam aplicações baseadas em Electron e realizavam um extenso reconhecimento do sistema.
Os ataques também são caracterizados pelo uso de técnicas anti-debugging, métodos de escalada de privilégios e mecanismos de persistência para manter uma presença de longo prazo nos hosts afetados.
Scripts em PowerShell também são empregados para enfraquecer as defesas do host e inibir a recuperação do sistema.
Water Curse foi descrito como um ator de ameaça motivado financeiramente, movido por roubo de credenciais, sequestro de sessões e revenda de acessos ilícitos.
Até 76 contas do GitHub foram vinculadas à campanha.
Há evidências que sugerem que atividades relacionadas podem ter ocorrido desde março de 2023.
A emergência de Water Curse é o exemplo mais recente de como atores de ameaças estão abusando da confiança associada a plataformas legítimas como o GitHub como um canal de entrega para malware e ataques à cadeia de suprimentos de softwares.
"Seus repositórios incluem malware, utilitários de evasão, cheats para jogos, aimbots, ferramentas de carteira de criptomoedas, scrapers OSINT, bots de spam e ladrões de credenciais", disse a Trend Micro.
Isso reflete uma estratégia de direcionamento multi-vertical que mescla cibercrime com monetização oportunista.
Sua infraestrutura e comportamento indicam um foco em discrição, automação e escalabilidade, com exfiltração ativa via Telegram e serviços públicos de compartilhamento de arquivos.
A divulgação acontece à medida que múltiplas campanhas foram observadas aproveitando a estratégia prevalente de ClickFix para implantar diversas famílias de malware, como AsyncRAT, DeerStealer (via um loader chamado Hijack Loader), Filch Stealer, LightPerlGirl e SectopRAT (também via Hijack Loader).
AsyncRAT é um dos muitos trojans de acesso remoto (RATs) disponíveis que foi usado por atores de ameaças não identificados para mirar indiscriminadamente milhares de organizações em múltiplos setores desde o início de 2024.
Alguns aspectos da campanha foram documentados pela Forcepoint em agosto de 2024 e janeiro de 2025.
"Essa técnica permite que o malware contorne defesas tradicionais de perímetro, particularmente usando túneis temporários da Cloudflare para servir payloads a partir de infraestrutura aparentemente legítima", disse Halcyon.
Esses túneis fornecem aos atacantes subdomínios efêmeros e não registrados que parecem confiáveis para os controles de perímetro, dificultando o bloqueio ou a inclusão em listas negras prévias. Como a infraestrutura é ativada dinamicamente via serviços legítimos, os defensores enfrentam desafios em distinguir o uso malicioso de fluxos de trabalho autorizados de DevOps ou manutenção de TI.
Essa tática permite que os atores de ameaças entreguem payloads sem depender de servidores comprometidos ou hospedagem à prova de balas, aumentando tanto a escala quanto a discrição da campanha.
As descobertas também seguem a descoberta de uma campanha maliciosa em andamento que tem como alvo várias organizações europeias localizadas na Espanha, Portugal, Itália, França, Bélgica e Holanda com iscas de phishing temáticas de fatura para entregar um RAT nomeado Sorillus (também conhecido como Ratty RAT).
Campanhas anteriores distribuindo o malware visaram profissionais de contabilidade e impostos usando iscas de declaração de imposto de renda, algumas das quais aproveitaram técnicas de contrabando HTML para ocultar os payloads maliciosos.
A cadeia de ataque detalhada pela Orange Cyberdefense emprega emails de phishing semelhantes que visam enganar os destinatários a abrir anexos em PDF contendo um link do OneDrive que aponta para um arquivo PDF hospedado diretamente no serviço de armazenamento em nuvem, enquanto induz o usuário a clicar em um botão "Abrir o documento".
Ao fazer isso, a vítima é redirecionada a um servidor web malicioso que atua como um sistema de distribuição de tráfego (TDS) para avaliar a solicitação de entrada e determinar se precisa prosseguir para a próxima etapa da infecção.
Se a máquina da vítima atender aos critérios necessários, um PDF benigno é exibido enquanto um arquivo JAR é baixado silenciosamente para soltar e executar o Sorillus RAT.
Um RAT baseado em Java que surgiu pela primeira vez em 2019, Sorillus é um malware multiplataforma capaz de colher informações sensíveis, baixar/upload de arquivos, tirar capturas de tela, gravar áudio, registrar teclas pressionadas, executar comandos arbitrários e até se desinstalar.
Também não ajuda o fato de que várias versões rackeadas do trojan estão disponíveis online.
Os ataques são avaliados como parte de uma campanha mais ampla que foi observada entregando SambaSpy a usuários na Itália.
O SambaSpy, segundo a Orange Cyberdefense, pertence à família de malware Sorillus.
"A operação mostra uma mistura estratégica de serviços legítimos – como OneDrive, MediaFire e plataformas de tunelamento como Ngrok e LocaltoNet – para evitar detecção", disse a empresa de cibersegurança.
O uso repetido de português do Brasil nos payloads suporta uma provável atribuição a atores de ameaças que falam português do Brasil.
Publicidade
Mantenha seus dados longe de hackers e ameaças digitais com a NordVPN, uma das mais rápidas e seguras do mundo. Com tecnologia de criptografia avançada, você protege até 10 dispositivos e ainda conta com recursos poderosos como bloqueio de malware, monitoramento da dark web e backup criptografado. Aproveite até 70% de desconto e experimente com garantia de reembolso de 30 dias. Segurança digital nunca foi tão fácil e eficiente. Saiba mais...