Um grupo de ransomware conhecido como LeakNet tem construído silenciosamente uma estratégia de ataque mais perigosa. Até recentemente, o grupo tinha uma média de cerca de três vítimas por mês, mas novas evidências mostram que está escalando rapidamente, adicionando novas ferramentas que a maioria das defesas de segurança não foi construída para detectar. O LeakNet introduziu duas adições notáveis: uma técnica de engenharia social chamada ClickFix e um carregador furtivo baseado em memória construído no runtime JavaScript Deno.
Transição para ClickFix e Redução de Dependência de IABs
O ClickFix não é uma técnica nova na paisagem de ameaças, mas a mudança do LeakNet em direção a ela marca uma alteração significativa em como o grupo encontra suas vítimas. Em vez de comprar credenciais de acesso inicial (IABs) de corretores de acesso em mercados subterrâneos, o LeakNet agora planta páginas de verificação falsas em sites legítimos comprometidos.
Quando um usuário desprevenido aterrissa em uma dessas páginas, ele vê o que parece ser uma verificação padrão do Cloudflare Turnstile e é solicitado a executar manualmente um comando. Não há perfil específico de vítima aqui; o grupo simplesmente lança uma rede ampla e conta com uma parte dos usuários para morder a isca. A mudança para longe de IABs é deliberada: remove uma dependência que desacelerava o grupo e amplia consideravelmente o pool de vítimas potenciais.
Esta mudança coloca qualquer funcionário que navegue na web em risco. Como as iscas são hospedadas em sites reais em vez de domínios pertencentes ao atacante, as defesas de camada de rede padrão geram muito menos alertas. O sinal vermelho só aparece depois que o usuário já executou o comando malicioso, o que coloca mais peso no monitoramento comportamental — particularmente para comandos msiexec suspeitos e conexões de saída inesperadas — em vez de bloqueio baseado apenas em domínio.
O Carregador Furtivo Baseado em Deno
Uma das partes mais tecnicamente perigosas da ferramenta atualizada do LeakNet é um carregador anteriormente não relatado construído no Deno, um runtime JavaScript e TypeScript legítimo usado diariamente por desenvolvedores. O LeakNet usa uma abordagem bring-your-own-runtime (BYOR) — em vez de implantar um binário malicioso personalizado que poderia acionar ferramentas de segurança, os atacantes instalam o executável Deno real e confiável na máquina da vítima e o usam para executar código prejudicial.
O carregador é ativado através de arquivos PowerShell e Visual Basic Script, notavelmente nomeados Romeo*.ps1 e Juliet*.vbs. Em vez de escrever um arquivo JavaScript em disco onde poderia ser escaneado, o LeakNet alimenta o payload para o Deno como um URL de dados codificado em base64, que o Deno decodifica e executa inteiramente na memória. Nenhum arquivo padrão toca no endpoint, tornando todo o processo quase invisível para ferramentas de segurança baseadas em assinatura.
Execução e Coleta de Dados
Uma vez que o carregador é executado, ele coleta detalhes básicos do sistema — nome de usuário, nome do host, tamanho da memória e versão do SO — e depois cria uma impressão digital única da vítima. Ele se conecta à infraestrutura controlada pelo atacante para recuperar um payload de segunda etapa específico da vítima, impede instâncias duplicadas vinculando-se a uma porta local e depois entra em um ciclo de loop de busca e execução de código adicional na memória.
Para reduzir a exposição, as organizações devem bloquear domínios recém-registrados, já que os servidores de comando e controle do LeakNet são tipicamente apenas semanas antigos. Usuários regulares devem ser restritos de executar comandos Win-R em suas estações de trabalho, e o PsExec deve ser limitado a administradores autorizados através de Objetos de Política de Grupo (GPOs).
Indicadores de Comprometimento e Resposta
Equipes de segurança devem observar a sideloading de jli.dll no diretório C:\ProgramData\USOShared, atividade incomum de PsExec e conexões de saída inesperadas para buckets S3. Isolar um host comprometido no momento em que o comportamento de pós-exploração é confirmado é a maneira mais direta de quebrar a cadeia antes que o ransomware alcance a implantação.
O que torna a campanha atual do LeakNet particularmente preocupante é como ambos os caminhos de entrada — ClickFix e phishing do Microsoft Teams — alimentam a mesma cadeia de pós-exploração toda vez. O grupo se move através de execução, movimento lateral e staging de payload com as mesmas ferramentas independentemente de como entrou. Essa consistência é um sinal útil para defensores: conhecer os passos significa que há pontos claros onde o ataque pode ser detectado e cortado.
Implicações para a Segurança Corporativa
A adoção de técnicas como ClickFix e o uso de runtimes legítimos como Deno para execução de código malicioso representam uma evolução significativa nas táticas de ransomware. Isso exige que as organizações revisem suas políticas de execução de scripts e monitorem o comportamento de processos em tempo real, em vez de depender apenas de listas de bloqueio de domínio. A capacidade do grupo de escalar rapidamente sugere que a ameaça deve ser tratada como prioridade alta para equipes de resposta a incidentes.