Uma falha de segurança no Google Chrome, recentemente corrigida, foi explorada como um zero-day por um ator de ameaças conhecido como TaxOff para implantar um backdoor com o codinome Trinper.
O ataque, observado em meados de março de 2025 pela Positive Technologies, envolveu o uso de uma vulnerabilidade de escape do sandbox rastreada como CVE-2025-2783 (pontuação CVSS: 8.3).
O Google corrigiu a falha ainda naquele mês, após a Kaspersky relatar a exploração dessa falha em campanhas apelidadas Operation ForumTroll, visando diversas organizações russas.
"O vetor de ataque inicial foi um email de phishing contendo um link malicioso", disseram os pesquisadores de segurança Stanislav Pyzhov e Vladislav Lunin.
Quando a vítima clicava no link, isso disparava um exploit de um clique (CVE-2025-2783), levando à instalação do backdoor Trinper utilizado pelo TaxOff.
O e-mail de phishing teria sido disfarçado como um convite para o fórum Primakov Readings – o mesmo chamariz detalhado pela Kaspersky –, instando os usuários a clicar em um link que levava a um site falso hospedando o exploit.
TaxOff é o nome atribuído a um grupo de hackers que foi documentado pela primeira vez pela empresa de cibersegurança russa em novembro de 2024, como visando agências governamentais domésticas por meio de e-mails de phishing relacionados a assuntos legais e financeiros para entregar o Trinper.
Escrito em C++, o backdoor utiliza multithreading para capturar informações do host da vítima, registrar keystrokes, coletar arquivos com extensões específicas (.doc, .xls, .ppt, .rtf e .pdf) e estabelecer uma conexão com um servidor remoto para receber comandos e exfiltrar os resultados da execução.
As instruções enviadas pelo servidor de comando e controle (C2) ampliam a funcionalidade do implante, permitindo ler/escrever arquivos, executar comandos usando cmd.exe, lançar um reverse shell, mudar de diretório e se auto encerrar.
“O multithreading oferece um alto grau de paralelismo para ocultar o backdoor, mantendo a capacidade de coletar e exfiltrar dados, instalar módulos adicionais e manter comunicações com C2”, observou Lunin na época.
A Positive Technologies disse que sua investigação sobre a intrusão de meados de março de 2025 levou à descoberta de outro ataque datado de outubro de 2024, que também começou com um email de phishing, supostamente um convite para uma conferência internacional chamada “Segurança do Estado da União no mundo moderno”.
Esse e-mail continha um link, que baixava um arquivo ZIP contendo um atalho do Windows que, por sua vez, lançava um comando do PowerShell para, em última análise, servir um documento isca enquanto também lançava um carregador responsável por iniciar o backdoor Trinper por meio do carregador de código aberto Donut.
Uma variação do ataque foi encontrada substituindo o carregador Donut pelo Cobalt Strike.
Esta cadeia de ataque, segundo a empresa, compartilha várias semelhanças táticas com as de outro grupo de hackers rastreado como Team46, levantando a possibilidade de que os dois clusters de atividades de ameaças sejam um e o mesmo.
Curiosamente, outro conjunto de emails de phishing enviados pelos atacantes do Team46 um mês antes alegava ser da operadora de telecomunicações baseada em Moscou, Rostelecom, alertando os destinatários sobre supostas manutenções no ano passado.
Estes e-mails incluíam um arquivo ZIP, que embutia um atalho que lançava um comando do PowerShell para implantar um carregador que havia sido previamente usado para entregar outro backdoor em um ataque visando uma empresa russa não nomeada do setor de transporte ferroviário de carga.
A intrusão de março de 2024, detalhada pela Doctor Web, é notável pelo fato de que um dos payloads armou uma vulnerabilidade de sequestro de DLL no Yandex Browser para Windows (
CVE-2024-6473
, pontuação CVSS: 8.4) como um zero-day para baixar e executar malware não especificado.
Foi resolvido na versão 24.7.1.380 lançada em setembro de 2024.
“Esse grupo aproveita explorações de zero-day, o que lhe permite penetrar infraestruturas seguras de forma mais eficaz,” disseram os pesquisadores.
O grupo também cria e usa malware sofisticado, o que implica que tem uma estratégia de longo prazo e pretende manter persistência nos sistemas comprometidos por um período prolongado.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...