Pesquisadores do Netskope Threat Labs identificaram um malware, desenvolvido em Golang (linguagem de programação criada pelo Google), que instala um backdoor e utiliza o Telegram como canal de comando e controle (C2).
A descoberta ocorreu ao analisarem um Indicador de Comprometimento (IoC) divulgado por outros especialistas na área.
Durante a investigação, encontraram o payload, que, embora pareça estar ainda em fase de desenvolvimento, já se mostrava plenamente operacional.
“O emprego de aplicações de nuvem como canais C2 ainda é raro, mas representa um método bastante eficaz para os atacantes, pois dispensa a necessidade de criar uma infraestrutura dedicada a isso, facilitando seus esforços.
Além disso, para as equipes de defesa, é extremamente complicado diferenciar entre o uso legítimo de uma API e atividades maliciosas executando comandos”, declara Leandro Fróes, especialista brasileiro e pesquisador no Netskope Threat Labs.
Em notícias relacionadas, a Netskope angariou US$ 168,7 milhões em financiamento e adquiriu a WootCloud, ampliando sua atuação na área de IoT.
Aplicações de nuvem como OneDrive, GitHub e DropBox também podem representar desafios para detecção por parte das equipes de segurança, caso sejam alvos de ataques similares.
Todos os IoCs e scripts vinculados a esse malware estão disponíveis no repositório do GitHub.
“Não sou um robô” – Alerta sobre PDFs mal-intencionados
Nesta mesma semana, o Netskope Threat Labs identificou uma campanha de phishing que se vale de Webflow, técnicas de SEO e CAPTCHAs falsos para realizar fraudes com cartões de crédito.
Os agentes de ameaças focam em usuários que buscam por documentos através de motores de busca, com o objetivo de roubar suas informações financeiras e pessoais.
Eles aplicam técnicas de SEO para seduzir as vítimas a acessar arquivos PDF maliciosos armazenados no Webflow CDN, os quais apresentam uma imagem CAPTCHA fraudulenta.
Os links de phishing inseridos na imagem CAPTCHA falsa direcionam para um site enganoso.
Os atacantes se aproveitam do Cloudflare Turnstile para fazer com que as vítimas acreditem estar interagindo com um CAPTCHA autêntico, enquanto simultaneamente blindam suas páginas de phishing contra inspeções de segurança.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...