Em 5 de maio de 2021, o Malwarebytes Labs foi avisado por um de nossos alertas de inteligência de que um novo método de evasão estava em uso no mundo real. Seu uso é particularmente notável porque ainda não foi detectado pelos principais produtos de detecção de malware.
Este método de evasão envolve o uso de um código baseado em PowerShell para carregar um payload para a memória, como é feito com outras implantacões de malware de memória. No entanto, o código foi desenvolvido para evitar a detecção pelos principais produtos de detecção de malware, incluindo o Malwarebytes.
Nesse caso particular, tivemos um alerta da API Malwarebytes Cyber Intake sobre um arquivo suspeito chamado “update.vbs”, que foi identificado como um componente de malware de backdoor conhecido como “Trickbot”. Após a análise, descobrimos que este não era um arquivo legítimo vbs, mas sim um código baseado em PowerShell que, quando executado, carregaria um payload para a memória. Este código contém algumas camadas de evasão, incluindo a ofuscação do código e o uso de strings ocultas.
O código de PowerShell é basicamente uma implementação simplificada do módulo Invoke-ReflectivePEInjection, que é um método comum de carregamento de payload para a memória. Tendo em mente que este é um novo método de evasão, é provável que outros grupos de amenazas comecem a usá-lo nos próximos meses.
Falha permite que invasores manipulem o agente de um usuário por meio de um problema…
Um exploit de dia zero, dirigido aos firewalls FortiGate da Fortinet, foi descoberto à venda…
A família SHELBY mostra um exemplo preocupante de malware moderno com design modular, sofisticado e…
Hackers estão explorando o diretório mu-plugins do WordPress para injetar códigos maliciosos que não aparecem…
O Google implementou uma nova funcionalidade de "Detecção de Golpes" com inteligência artificial no aplicativo…
O grupo APT28, ligado à Rússia, está utilizando técnicas avançadas de ofuscação em seus ataques…