O malware age como meio de acesso não autorizado que burla a segurança (backdoor) e usa o Telegram como seu canal de comando e controle (C2)
A equipe do Netskope Threat Labs identificou um Indicador de Comprometimento (IoC) compartilhado por outros pesquisadores e decidiu investigar mais a fundo. Durante a análise, foi descoberto um payload aparentemente ainda em desenvolvimento, mas já totalmente funcional.
O malware, compilado em Golang (linguagem de programação criada pela Google), age como um meio de acesso não autorizado que burla a segurança (backdoor) e usa o Telegram como seu canal de comando e controle (C2).
“Embora o uso de aplicações de nuvem como canais C2 não seja algo frequente, é um método muito eficaz usado por invasores. Primeiro porque elimina a necessidade de implementar uma infraestrutura inteira para isso, o que facilita a vida deles, e também porque é muito difícil, sob a perspectiva da defesa, diferenciar o que é um usuário normal usando uma API e o que é uma ameaça executando comandos”, explica Leandro Fróes, especialista brasileiro e pesquisador do Netskope Threat Labs.
As aplicações de nuvem OneDrive, GitHub, DropBox, são exemplos que também podem dificultar a detecção por equipes de segurança, caso sejam se atacados de forma semelhante.
Todos os IoCs e scripts relacionados a esse malware podem ser encontrados no repositório GitHub.
“Não sou um robô” – cuidado com PDFs maliciosos
Ainda nesta semana, o Netskope Threat Labs descobriu uma campanha de phishing que explora Webflow, SEO e CAPTCHAs falsos para fraudes em cartões de crédito.
Os criminosos cibernéticos estão mirando vítimas que procuram documentos em mecanismos de busca para desviar suas informações financeiras e pessoais. Eles usam técnicas de SEO para atrair as vítimas a acessar arquivos PDF maliciosos hospedados no Webflow CDN, que contêm uma imagem CAPTCHA falsa.
Os links de phishing são incorporados na imagem CAPTCHA falsa para redirecionar ao site falso. Os invasores usam o Cloudflare Turnstile para enganar as vítimas, que acreditam que estão usando um CAPTCHA legítimo, ao mesmo tempo em que protegem suas páginas de phishing das varreduras de segurança.
O Netskope Threat Labs continuará rastreando e respondendo a essas campanhas de phishing.
Os URLs foram reportados ao Webflow em 23 de janeiro de 2025.
Para mais detalhes sobre essas investigações, acesse a página do Netskope Threat Labs.
Sobre a Netskope
A Netskope, líder global em SASE, ajuda as organizações a aplicar princípios de confiança zero e inovações de IA/ML para proteger dados e se defender contra ameaças cibernéticas. Rápida e fácil de usar, a plataforma Netskope One e seu Zero Trust Engine patenteado fornecem acesso otimizado e segurança em tempo real para pessoas, dispositivos e dados onde quer que estejam. Milhares de clientes confiam na Netskope e em sua poderosa rede NewEdge para reduzir riscos e obter visibilidade incomparável de qualquer atividade na nuvem, na Web e em aplicativos privados, fornecendo segurança e acelerando o desempenho sem compensações.
Desafios e estratégias de defesa dos LLMs nas fraudes digitais
Previsões 2025: Regulamentações sobre Privacidade de Dados. Por Abílio Branco
Cibercriminosos aprimoram capacidades técnicas com IA para novos golpes digitais
Zero Trust e o Hardware Security Module: as lições de segurança para o mercado em 2025
O Crypto ID conecta tecnologia, regulação voltada à segurança da informação com inteligência editorial porque acreditamos no poder da informação bem posicionada para orientar decisões.
Conheça a coluna Cibersegurança.
Cadastre-se para receber o IDNews e acompanhe o melhor conteúdo do Brasil sobre Identificação Digital! Aqui!
