Pesquisadores do Cyble Research and Intelligence Lab (CRIL) descobriram uma campanha sofisticada que começa com um arquivo .LNK suspeito e utiliza o Visual Studio Code (VSCode) para garantir persistência e acesso remoto à máquina da vítima. Se o VSCode não estiver instalado, o ataque instala a versão CLI do VSCode automaticamente.
Segundo os pesquisadores, a técnica lembra táticas usadas pelo grupo APT chinês Stately Taurus, com indícios de idioma chinês encontrados na campanha. O ataque pode ser iniciado por engenharia social, com o arquivo .LNK sendo potencialmente distribuído via e-mails de spam. Esse arquivo baixa um pacote Python, usado para executar um script ofuscado recuperado de um site de colagem.
No momento da publicação, o script não era detectado por ferramentas de segurança como o VirusTotal, dificultando a identificação. O script cria uma tarefa agendada para garantir persistência, baixando o VSCode CLI se necessário e abrindo um túnel remoto para permitir o acesso não autorizado do atacante. Uma vez estabelecido o controle remoto, o atacante pode iniciar a exfiltração de dados.
O ataque começa disfarçando o arquivo .LNK como um instalador, exibindo uma mensagem de instalação falsa em chinês enquanto, em segundo plano, baixa componentes adicionais, como um pacote Python. O script então cria diretórios e extrai os arquivos necessários, executando o código sem abrir janelas visíveis, o que mantém a atividade maliciosa oculta.
Se o VSCode não estiver presente, o script faz o download da versão CLI diretamente da Microsoft e cria uma tarefa agendada chamada “MicrosoftHealthcareMonitorNode”, que garante a execução recorrente do script a cada quatro horas para manter a persistência. Para usuários administradores, a tarefa é executada no logon com privilégios elevados, dificultando sua interrupção.
A campanha evidencia o aumento da sofisticação de agentes mal-intencionados ao utilizarem ferramentas legítimas, como o VSCode, para invadir sistemas. O uso de um arquivo .LNK aparentemente inofensivo e de um script Python ofuscado permite que os atacantes driblem as medidas de detecção, reforçando a necessidade de maior vigilância e proteção contra ameaças avançadas.
Falha permite que invasores manipulem o agente de um usuário por meio de um problema…
Um exploit de dia zero, dirigido aos firewalls FortiGate da Fortinet, foi descoberto à venda…
A família SHELBY mostra um exemplo preocupante de malware moderno com design modular, sofisticado e…
Hackers estão explorando o diretório mu-plugins do WordPress para injetar códigos maliciosos que não aparecem…
O Google implementou uma nova funcionalidade de "Detecção de Golpes" com inteligência artificial no aplicativo…
O grupo APT28, ligado à Rússia, está utilizando técnicas avançadas de ofuscação em seus ataques…