Uma nova ameaça furtiva está se infiltrando silenciosamente em empresas dos Estados Unidos, e a maioria das ferramentas de segurança tradicionais está completamente cega para ela. Pesquisadores descobriram um malware previamente desconhecido que se disfarça como um documento de negócios cotidiano — uma ordem de compra, uma cotação ou uma solicitação de proposta. Uma vez que um funcionário desprevenido abre o arquivo anexado, os invasores ganham acesso persistente a toda a rede da empresa.
Descoberta e escopo da ameaça
O malware, nomeado JS.MonoGlyphRAT, é entregue como um arquivo JavaScript comum anexado a e-mails de phishing. Ele está atacando ativamente organizações em todo os Estados Unidos, com vítimas confirmadas nos setores de tecnologia, provedores de serviços de segurança gerenciados (MSSPs), telecomunicações e educação. Casos também foram identificados na Alemanha, Suécia, Austrália e outros países, tornando-se uma preocupação crescente além das fronteiras dos EUA.
Analistas da ANY.RUN identificaram este cluster de malware e publicaram um relatório detalhado. A equipe nomeou o malware após seu método de ofuscação de assinatura, onde nomes de variáveis e funções são construídos com caracteres repetidos em caixa alta e baixa — por exemplo, IiIiIiIiiIII ou KkkKKKkKkK — tornando o código extremamente difícil de ler e analisar com ferramentas de segurança padrão.
Como o JS.MonoGlyphRAT opera sob o radar
O que torna o JS.MonoGlyphRAT especialmente perigoso é que ele atualmente aparece como "malware desconhecido" em plataformas de inteligência de ameaças como VirusTotal e ThreatFox. Programas antivírus padrão que dependem de assinaturas conhecidas simplesmente não conseguem detectá-lo. A única maneira confiável de capturá-lo é observando o comportamento suspeito em um sistema em tempo real, em vez de corresponder arquivos contra um banco de dados de assinaturas conhecido.
O ataque começa com um único e-mail. Funcionários de compras, vendas ou finanças recebem uma mensagem contendo um arquivo JavaScript com nomes como PURCHASE ORDER_12258.js ou QUOTE_B2026.js. Uma vez que o arquivo é executado pelo Windows Script Host (WSH), ele copia silenciosamente para uma subpasta no diretório do perfil do usuário e se registra no Windows Registry, garantindo persistência.
Indicadores de Comprometimento (IoCs)
As equipes de segurança devem monitorar sinais comportamentais, não apenas assinaturas. Sinais de alerta incluem wscript.exe executando arquivos JavaScript de diretórios de usuário, processos PowerShell lançados com flags de comando codificados, novas chaves de registro apontando para arquivos .js e tráfego HTTP POST para portas incomuns. Os IoCs incluem IPs como 158.94.211.76 e domínios como aryamint.com.
Impacto financeiro e operacional
As consequências financeiras de uma infecção bem-sucedida podem chegar a milhões. As organizações enfrentam riscos de implantação de ransomware, roubo de dados, penalidades regulatórias, comprometimento de e-mail corporativo e tempo de inatividade operacional prolongado. Como o MonoGlyphRAT pode baixar e implantar payloads maliciosos adicionais, mesmo uma única máquina comprometida pode se tornar o ponto de partida de uma violação muito maior e mais cara para toda a organização.
O que os CISOs devem fazer imediatamente
Detectar essa ameaça cedo requer monitoramento comportamental e análise baseada em sandbox, não correspondência tradicional de assinaturas. Recomenda-se integrar soluções de sandbox interativo para executar anexos JavaScript suspeitos e observar comportamentos maliciosos associados ao MonoGlyphRAT, incluindo execução de wscript.exe, spawn de PowerShell, persistência baseada em registro e tentativas de entrega de payload. A atualização das regras de detecção de rede e a conscientização dos usuários sobre documentos de negócios inesperados são medidas críticas.