Pesquisadores de cibersegurança descobriram um malware baseado em Go chamado XDigo que foi utilizado em ataques direcionados a entidades governamentais do Leste Europeu em março de 2025.
As cadeias de ataque teriam aproveitado uma coleção de arquivos de atalho do Windows (LNK) como parte de um procedimento multi-estágio para implementar o malware, informou a empresa francesa de cibersegurança HarfangLab.
XDSpy é o nome atribuído a uma espionagem cibernética conhecida por mirar agências governamentais no Leste Europeu e nos Bálcãs desde 2011.
Foi documentado pela primeira vez pelo CERT bielorrusso no início de 2020.
Nos últimos anos, empresas na Rússia e na Moldávia foram alvos de várias campanhas para entregar famílias de malware como UTask, XDDown e DSDownloader que podem baixar payloads adicionais e roubar informações sensíveis de hosts comprometidos.
A HarfangLab disse que observou o ator de ameaças explorando uma falha de execução remota de código no Microsoft Windows que é acionada ao processar arquivos LNK especialmente elaborados.
A vulnerabilidade (ZDI-CAN-25373) foi divulgada publicamente pela Trend Micro mais cedo, em março.
"Dados elaborados em um arquivo LNK podem fazer com que o conteúdo perigoso no arquivo fique invisível para um usuário que inspeciona o arquivo por meio da interface de usuário fornecida pelo Windows," disse a iniciativa Zero Day (ZDI) da Trend Micro na época.
"Um atacante pode aproveitar esta vulnerabilidade para executar códigos no contexto do usuário atual."
Uma análise mais profunda dos artefatos de arquivo LNK que exploram ZDI-CAN-25373 revelou um subconjunto menor composto por nove amostras, que aproveitam uma falha de confusão de análise de LNK como resultado da não implementação por parte da Microsoft de sua própria especificação MS-SHLLINK (versão 8.0).
De acordo com a especificação, o limite teórico máximo para o comprimento de uma string dentro de arquivos LNK é o maior valor inteiro que pode ser codificado em dois bytes (ou seja, 65.535 caracteres).
No entanto, a implementação atual do Windows 11 limita o conteúdo de texto armazenado total a 259 caracteres, com exceção dos argumentos de linha de comando.
"Isto leva a situações confusas, onde alguns arquivos LNK são analisados de maneira diferente por especificação e no Windows, ou até mesmo que alguns arquivos LNK que deveriam ser inválidos por especificação são na verdade válidos para o Microsoft Windows," disse a HarfangLab.
Devido a este desvio da especificação, pode-se especificamente criar um arquivo LNK que aparentemente executa uma certa linha de comando ou até mesmo ser inválido de acordo com analisadores de terceiros que implementam a especificação, enquanto executa outra linha de comando no Windows.
Uma consequência de combinar a questão do preenchimento de espaços em branco com a confusão de análise de LNK é que isso pode ser aproveitado por atacantes para ocultar o comando que está sendo executado tanto na UI do Windows quanto em analisadores de terceiros.
Diz-se que os nove arquivos LNK foram distribuídos dentro de arquivos ZIP, com cada um dos últimos contendo um segundo arquivo ZIP que inclui um arquivo PDF de isca, um executável legítimo mas renomeado, e um DLL malicioso que é carregado via o binário.
Vale ressaltar que esta cadeia de ataques foi documentada pela BI.ZONE no mês passado como conduzida por um ator de ameaças que ela monitora como Silent Werewolf para infectar empresas moldavas e russas com malware.
O DLL é um downloader de primeira etapa chamado ETDownloader que, por sua vez, provavelmente visa implementar um implante de coleta de dados referido como XDigo baseado em sobreposições de infraestrutura, vitimologia, temporização, táticas e ferramentas.
XDigo é avaliado como uma versão mais nova do malware ("UsrRunVGA.exe") que foi detalhado pela Kaspersky em outubro de 2023.
XDigo é um stealer que pode colher arquivos, extrair conteúdo da área de transferência e capturar capturas de tela.
Ele também suporta comandos para executar um comando ou binário obtido de um servidor remoto por meio de solicitações HTTP GET.
A exfiltração de dados ocorre via solicitações HTTP POST.
Pelo menos um alvo confirmado foi identificado na região de Minsk, com outros artefatos sugerindo o direcionamento a grupos de varejo russos, instituições financeiras, grandes companhias de seguros e serviços postais governamentais.
"Este perfil de direcionamento alinha-se com a busca histórica de XDSpy por entidades governamentais no Leste Europeu e, em particular, na Belarus," disse a HarfangLab.
O foco do XDSpy também é demonstrado por suas capacidades de evasão personalizadas, já que seu malware foi reportado como o primeiro malware tentando evadir a detecção da solução Sandbox da PT Security, uma empresa russa de cibersegurança que fornece serviço para organizações públicas e financeiras na Federação Russa.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...