Em 5 de maio de 2021, o Malwarebytes Labs foi avisado por um de nossos alertas de inteligência de que um novo método de evasão estava em uso no mundo real. Seu uso é particularmente notável porque ainda não foi detectado pelos principais produtos de detecção de malware.
Este método de evasão envolve o uso de um código baseado em PowerShell para carregar um payload para a memória, como é feito com outras implantacões de malware de memória. No entanto, o código foi desenvolvido para evitar a detecção pelos principais produtos de detecção de malware, incluindo o Malwarebytes.
Nesse caso particular, tivemos um alerta da API Malwarebytes Cyber Intake sobre um arquivo suspeito chamado “update.vbs”, que foi identificado como um componente de malware de backdoor conhecido como “Trickbot”. Após a análise, descobrimos que este não era um arquivo legítimo vbs, mas sim um código baseado em PowerShell que, quando executado, carregaria um payload para a memória. Este código contém algumas camadas de evasão, incluindo a ofuscação do código e o uso de strings ocultas.
O código de PowerShell é basicamente uma implementação simplificada do módulo Invoke-ReflectivePEInjection, que é um método comum de carregamento de payload para a memória. Tendo em mente que este é um novo método de evasão, é provável que outros grupos de amenazas comecem a usá-lo nos próximos meses.
Pesquisadores da Huntress identificaram uma campanha massiva de phishing que usa infraestrutura da Railway e…
A Mazda informou que um acesso externo não autorizado a um sistema ligado à gestão…
A CVE-2026-32746, com CVSS 9.8, afeta o telnetd do GNU InetUtils até a versão 2.7…
A campanha GlassWorm voltou com escala muito maior e já atingiu 433 componentes em GitHub,…
Como o golpe funcionava- O atacante publicou um projeto “parecido com legítimo” no GitHub, usando…
Falha crítica no better-auth permite criar API keys sem autenticação para usuários arbitrários, com risco…