Hackers russos adulteram apps do WebEx e Zoom para distribuir malware Starland
16 de Julho de 2026

Um threat actor russo com motivação financeira, identificado como UAT-11795, está usando software trojanizado para roubar credenciais e criptomoedas por meio da implantação de um novo backdoor chamado Starland RAT.

Os ataques ocorrem pelo menos desde junho de 2025 e têm como principal alvo usuários nos Estados Unidos, embora também tenham sido observadas vítimas na Alemanha, Romênia e Venezuela.

Segundo pesquisadores da Cisco Talos, o threat actor distribui o payload por meio de instaladores trojanizados de programas legítimos, como MobaXterm, WebEx, Zoom, DBeaver e FaceIT.

Embora os pesquisadores não tenham conseguido confirmar o vetor inicial da infecção, eles avaliam que os arquivos maliciosos provavelmente são disseminados pela técnica ClickFix.

Em uma análise publicada hoje, a Cisco Talos afirma que o ataque começa com um arquivo HTA que baixa um instalador NSIS trojanizado contendo um loader em Python disfarçado de arquivo de texto, com o nome LICENSE.txt.

O loader modifica o Registro do Windows para estabelecer persistência e, em seguida, descriptografa e carrega o trojan de acesso remoto Starland RAT.

Ao ser executado, o Starland verifica se está em um ambiente de sandbox, cria tarefas agendadas e itens na pasta Inicializar para manter a persistência e tenta elevar seus privilégios.

O malware procura os seguintes tipos de dados no sistema comprometido:

Dados de navegadores e ativos de carteiras de criptomoedas, incluindo mais de 40 carteiras de desktop e de extensões de navegador

Detalhes do sistema, como HWID, RAM, processador, sistema operacional, nome do computador, região, endereço IP público e produtos antivírus instalados

Informações do Active Directory, incluindo estrutura do domínio, controladores de domínio e os privilégios de domínio da vítima

O Starland RAT também pode capturar screenshots da área de trabalho da vítima, executar comandos shell, injetar shellcode de 32 ou 64 bits e baixar payloads adicionais, como EXEs, MSIs, DLLs e ZIPs.

Nos ataques observados, a cadeia de shellcode de 64 bits entrega o malware infostealer CastleStealer, enquanto a cadeia de 32 bits distribui o trojan de acesso remoto Remcos RAT.

O CastleStealer mira credenciais de navegadores, informações de carteiras de criptomoedas, sessões do Discord e do Telegram, credenciais do Steam e arquivos do sistema de arquivos.

Já o Remcos RAT oferece recursos como keylogging, captura de webcam e tela, gravação de áudio, monitoramento da área de transferência, gerenciamento de arquivos e execução remota de comandos.

A Cisco Talos destaca que a comunicação de comando e controle, ou C2, do malware conta com um mecanismo de redundância caso o endereço codificado falhe.

Nesse cenário, o malware consulta um contrato inteligente na Polygon com um domínio de reserva criptografado com XOR.

A Talos também descobriu que o UAT-11795 usa um framework de C2 em PowerShell até então não documentado, chamado WLDR.

Ele utiliza comunicação e sinalização de beacons criptografadas com PBKDF2-SHA256, opera inteiramente na memória e vincula a entrega do payload ao identificador de hardware de cada vítima.

Para se defender contra ataques do UAT-11795, organizações devem usar os indicadores de comprometimento, ou IoCs, presentes no relatório da Cisco Talos.

Os usuários devem evitar executar comandos encontrados na internet quando não entenderem exatamente sua função e devem baixar software apenas de portais oficiais e verificados dos fornecedores.

Publicidade

Anuncie no CaveiraTech e coloque sua marca na frente de milhares de profissionais de cybersecurity

Nossa audiência é formada por analistas, pentesters, decisores e entusiastas que consomem nossas notícias todo dia pelo Site, Newsletter e Instagram. Fale com quem realmente importa para o seu negócio. Anuncie aqui. Saiba mais...