Em 5 de maio de 2021, o Malwarebytes Labs foi avisado por um de nossos alertas de inteligência de que um novo método de evasão estava em uso no mundo real. Seu uso é particularmente notável porque ainda não foi detectado pelos principais produtos de detecção de malware.
Este método de evasão envolve o uso de um código baseado em PowerShell para carregar um payload para a memória, como é feito com outras implantacões de malware de memória. No entanto, o código foi desenvolvido para evitar a detecção pelos principais produtos de detecção de malware, incluindo o Malwarebytes.
Nesse caso particular, tivemos um alerta da API Malwarebytes Cyber Intake sobre um arquivo suspeito chamado “update.vbs”, que foi identificado como um componente de malware de backdoor conhecido como “Trickbot”. Após a análise, descobrimos que este não era um arquivo legítimo vbs, mas sim um código baseado em PowerShell que, quando executado, carregaria um payload para a memória. Este código contém algumas camadas de evasão, incluindo a ofuscação do código e o uso de strings ocultas.
O código de PowerShell é basicamente uma implementação simplificada do módulo Invoke-ReflectivePEInjection, que é um método comum de carregamento de payload para a memória. Tendo em mente que este é um novo método de evasão, é provável que outros grupos de amenazas comecem a usá-lo nos próximos meses.
Em 23 de junho de 2026, UBS e Nethermind anunciaram duas provas de conceito na…
Operadora japonesa confirma que invasão a sistema de e-mail compartilhado expôs até 14,22 milhões de…
Vazamento na fornecedora de IA para hospitais Xsolis atinge 1.396.519 indivíduos e inclui Social Security,…
Pesquisadores da Novee Security mapearam mais de 300 repositórios de alto impacto, em organizações como…
Sistema Defesa Civil Alerta é suspenso após 12 alertas falsos com a palavra "misantropia" serem…
Thalha Jubair e Owen Flowers confessaram envolvimento no ataque de 2024 contra a TfL, que…