Pesquisadores do Cyble Research and Intelligence Lab (CRIL) descobriram uma campanha sofisticada que começa com um arquivo .LNK suspeito e utiliza o Visual Studio Code (VSCode) para garantir persistência e acesso remoto à máquina da vítima. Se o VSCode não estiver instalado, o ataque instala a versão CLI do VSCode automaticamente.
Segundo os pesquisadores, a técnica lembra táticas usadas pelo grupo APT chinês Stately Taurus, com indícios de idioma chinês encontrados na campanha. O ataque pode ser iniciado por engenharia social, com o arquivo .LNK sendo potencialmente distribuído via e-mails de spam. Esse arquivo baixa um pacote Python, usado para executar um script ofuscado recuperado de um site de colagem.
No momento da publicação, o script não era detectado por ferramentas de segurança como o VirusTotal, dificultando a identificação. O script cria uma tarefa agendada para garantir persistência, baixando o VSCode CLI se necessário e abrindo um túnel remoto para permitir o acesso não autorizado do atacante. Uma vez estabelecido o controle remoto, o atacante pode iniciar a exfiltração de dados.
O ataque começa disfarçando o arquivo .LNK como um instalador, exibindo uma mensagem de instalação falsa em chinês enquanto, em segundo plano, baixa componentes adicionais, como um pacote Python. O script então cria diretórios e extrai os arquivos necessários, executando o código sem abrir janelas visíveis, o que mantém a atividade maliciosa oculta.
Se o VSCode não estiver presente, o script faz o download da versão CLI diretamente da Microsoft e cria uma tarefa agendada chamada “MicrosoftHealthcareMonitorNode”, que garante a execução recorrente do script a cada quatro horas para manter a persistência. Para usuários administradores, a tarefa é executada no logon com privilégios elevados, dificultando sua interrupção.
A campanha evidencia o aumento da sofisticação de agentes mal-intencionados ao utilizarem ferramentas legítimas, como o VSCode, para invadir sistemas. O uso de um arquivo .LNK aparentemente inofensivo e de um script Python ofuscado permite que os atacantes driblem as medidas de detecção, reforçando a necessidade de maior vigilância e proteção contra ameaças avançadas.
Uma cidade na Carolina do Norte e um escritório de advogados distritais cobrindo quatro condados…
O surgimento da Nytheon AI marca uma escalada significativa no cenário das plataformas (LLM) de…
Um pesquisador de segurança revelou uma vulnerabilidade crítica de injeção de SOQL no controlador interno…
Falha permite que invasores manipulem o agente de um usuário por meio de um problema…
Um exploit de dia zero, dirigido aos firewalls FortiGate da Fortinet, foi descoberto à venda…
A família SHELBY mostra um exemplo preocupante de malware moderno com design modular, sofisticado e…