.png)
há 1 semana
2
ANUNCIE AQUI
Pesquisadores da Blackpoint Cyber identificaram uma campanha de spear phishing que usa arquivos ZIP com documentos falsos para atingir executivos e gestores. As vítimas recebem arquivos que parecem ser comprovantes, passaportes ou autorizações de pagamento; ao abrir o ZIP e clicar no atalho .lnk, a isca dispara um script PowerShell que baixa um payload disfarçado como apresentação, mas que na verdade é uma DLL maliciosa.
Leia também
Pacote PyPi malicioso rouba credenciais de devs
Como o Google usa I.A. para migrar seu próprio código
O arquivo baixado é executado usando ferramentas legítimas do Windows, como rundll32.exe, adotando a técnica conhecida como living off the land para reduzir detecções. Em seguida o malware estabelece comunicação com servidores de comando e controle (C2), dando ao atacante acesso remoto ao sistema, exfiltração de dados e possibilidade de cargas adicionais.
Um detalhe sofisticado do ataque é a verificação de antivírus no host. O dropper checa processos de soluções populares (por exemplo, avgui ou bdagent) e escolhe entre variantes do payload para otimizar evasão, entregando BD3V.ppt quando detecta AV ou NORVM.ppt quando não há AV presente. Esse comportamento aumenta a chance de sucesso contra defesas convencionais.
Recomendações incluem bloquear a execução de arquivos .lnk a partir de anexos, proibir a execução casual de atalhos, aplicar políticas que restrinjam o uso de PowerShell e monitorar invocações de rundll32.exe. Organizações devem também educar usuários sobre riscos de abrir ZIPs com documentos sensíveis e validar downloads apenas em canais oficiais.
Portuguese (BR) ·