Em 5 de maio de 2021, o Malwarebytes Labs foi avisado por um de nossos alertas de inteligência de que um novo método de evasão estava em uso no mundo real. Seu uso é particularmente notável porque ainda não foi detectado pelos principais produtos de detecção de malware.
Este método de evasão envolve o uso de um código baseado em PowerShell para carregar um payload para a memória, como é feito com outras implantacões de malware de memória. No entanto, o código foi desenvolvido para evitar a detecção pelos principais produtos de detecção de malware, incluindo o Malwarebytes.
Nesse caso particular, tivemos um alerta da API Malwarebytes Cyber Intake sobre um arquivo suspeito chamado “update.vbs”, que foi identificado como um componente de malware de backdoor conhecido como “Trickbot”. Após a análise, descobrimos que este não era um arquivo legítimo vbs, mas sim um código baseado em PowerShell que, quando executado, carregaria um payload para a memória. Este código contém algumas camadas de evasão, incluindo a ofuscação do código e o uso de strings ocultas.
O código de PowerShell é basicamente uma implementação simplificada do módulo Invoke-ReflectivePEInjection, que é um método comum de carregamento de payload para a memória. Tendo em mente que este é um novo método de evasão, é provável que outros grupos de amenazas comecem a usá-lo nos próximos meses.
IA está comprimindo a janela entre divulgação e exploração a ponto de ficar negativa. A…
Operação NoVoice espalhou-se por mais de 50 apps do Google Play e explorou falhas antigas…
Grupo Inc reivindica ataque contra a prefeitura de Meriden, Connecticut. A cidade desligou serviços e…
A Alemanha expôs o líder ligado a GandCrab/REvil e reforçou o alerta sobre rebrandings no…
BlueHammer é um zero‑day LPE que explora o Windows Defender e eleva um usuário comum…
Drift Protocol suspendeu depósitos e saques após ataque na Solana. Estimativas apontam perdas entre US$…