Categories: ALERTAS

Pesquisadores da Cyble identificam um ataque avançado utilizando o Visual Studio Code para obter acesso remoto não autorizado.

Pesquisadores do Cyble Research and Intelligence Lab (CRIL) descobriram uma campanha sofisticada que começa com um arquivo .LNK suspeito e utiliza o Visual Studio Code (VSCode) para garantir persistência e acesso remoto à máquina da vítima. Se o VSCode não estiver instalado, o ataque instala a versão CLI do VSCode automaticamente.

Segundo os pesquisadores, a técnica lembra táticas usadas pelo grupo APT chinês Stately Taurus, com indícios de idioma chinês encontrados na campanha. O ataque pode ser iniciado por engenharia social, com o arquivo .LNK sendo potencialmente distribuído via e-mails de spam. Esse arquivo baixa um pacote Python, usado para executar um script ofuscado recuperado de um site de colagem.

No momento da publicação, o script não era detectado por ferramentas de segurança como o VirusTotal, dificultando a identificação. O script cria uma tarefa agendada para garantir persistência, baixando o VSCode CLI se necessário e abrindo um túnel remoto para permitir o acesso não autorizado do atacante. Uma vez estabelecido o controle remoto, o atacante pode iniciar a exfiltração de dados.

Cadeia de Infecção e Persistência

O ataque começa disfarçando o arquivo .LNK como um instalador, exibindo uma mensagem de instalação falsa em chinês enquanto, em segundo plano, baixa componentes adicionais, como um pacote Python. O script então cria diretórios e extrai os arquivos necessários, executando o código sem abrir janelas visíveis, o que mantém a atividade maliciosa oculta.

Se o VSCode não estiver presente, o script faz o download da versão CLI diretamente da Microsoft e cria uma tarefa agendada chamada “MicrosoftHealthcareMonitorNode”, que garante a execução recorrente do script a cada quatro horas para manter a persistência. Para usuários administradores, a tarefa é executada no logon com privilégios elevados, dificultando sua interrupção.

Recomendações de Segurança

A campanha evidencia o aumento da sofisticação de agentes mal-intencionados ao utilizarem ferramentas legítimas, como o VSCode, para invadir sistemas. O uso de um arquivo .LNK aparentemente inofensivo e de um script Python ofuscado permite que os atacantes driblem as medidas de detecção, reforçando a necessidade de maior vigilância e proteção contra ameaças avançadas.

Ninja

Na cena de cybersecurity a mais de 25 anos, Ninja trabalha como evangelizador de segurança da informação no Brasil. Preocupado com a conscientização de segurança cibernética, a ideia inicial é conseguir expor um pouco para o publico Brasileiro do que acontece no mundo.

Share
Published by
Ninja

Recent Posts

Escritórios do governo na Carolina do Norte, Geórgia, sofrem ataques cibernéticos

Uma cidade na Carolina do Norte e um escritório de advogados distritais cobrindo quatro condados…

1 mês ago

Nytheon AI Tool está ganhando tração em forums de Hacking

O surgimento da Nytheon AI marca uma escalada significativa no cenário das plataformas (LLM) de…

1 mês ago

Nova Vulnerabilidade 0day de Injection no Salesforce SOQL Expõe Milhões de Implantações

Um pesquisador de segurança revelou uma vulnerabilidade crítica de injeção de SOQL no controlador interno…

1 mês ago

Vulnerabilidade crítica no servidor MCP do GitHub permite acesso não autorizado a repositórios privados

Falha permite que invasores manipulem o agente de um usuário por meio de um problema…

2 meses ago

Suposto 0-Day da Fortinet está à venda em cantos obscuros da web

Um exploit de dia zero, dirigido aos firewalls FortiGate da Fortinet, foi descoberto à venda…

3 meses ago

Pesquisadores descobrem a família de malware Shelby que abusa do GitHub para comando e controle

A família SHELBY mostra um exemplo preocupante de malware moderno com design modular, sofisticado e…

4 meses ago