Hack Alerta

Malware TONResolver usa contratos inteligentes como ponto de entrega para C2

Novo malware TONResolver usa contratos inteligentes da blockchain TON para comando e controle, visando setor de hospitalidade no Japão com técnicas avançadas de evasão.

Introdução e contexto da ameaça

Uma nova onda de ciberataques direcionados ao setor de hospitalidade no Japão colocou o cenário global de ameaças em alerta máximo. Em maio de 2026, atacantes começaram a enviar e-mails de phishing para empresas parceiras do Booking.com, disfarçados de reclamações urgentes de hóspedes e solicitações de avaliação. O objetivo era enganar a equipe de hotéis para que abrissem arquivos maliciosos que entregavam controle remoto de seus sistemas aos atacantes. O que torna essa campanha alarmante é a forma como o malware opera. Em vez de codificar um servidor de comando e controle (C2), os atacantes usaram a blockchain The Open Network (TON) como um "resolutor de ponto morto", uma técnica que permite atualizar o endereço do servidor a qualquer momento sem tocar no próprio malware.

Essa abordagem torna a ameaça muito mais difícil de detectar ou desligar uma vez dentro de uma rede. Analistas da Trend Micro identificaram o malware, nomeando-o TONResolver, e confirmaram que ele funciona como um Trojan de Acesso Remoto (RAT). A Trend Micro disse em um relatório que os endpoints infectados permanecem em um loop de keepalive persistente, permanecendo conectados e prontos para receber comandos dos atacantes enquanto a infecção estiver ativa. A telemetria confirmou o Japão como a região mais afetada.

Vetor de entrega e engenharia social

Dois métodos de entrega foram observados. O primeiro foi phishing em massa com linhas de assunto como "Importante: Solicitação de Avaliação de Estadia do Hóspede". O segundo foi um "ataque conversacional" através do Gmail, onde o atacante enviava uma consulta inocente, esperava uma resposta e, em seguida, seguia com um link malicioso. Construir confiança antes de entregar o payload é uma tática comumente associada a grupos de ameaças persistentes avançadas.

O impacto de uma infecção bem-sucedida vai além do ponto de entrada inicial. Uma vez que o TONResolver é executado, ele coleta o nome de usuário da vítima, nome do host, sistema operacional, contagem de CPU, memória e endereço MAC. Atividades subsequentes confirmadas através de análise de detecção e resposta gerenciada revelaram tentativas de roubo de credenciais, com o malware mirando senhas armazenadas no navegador, cookies, histórico e dados de preenchimento automático do Chrome e Edge.

Tecnologia de comando e controle via blockchain

A característica técnica definidora do TONResolver é como ele localiza seu servidor de comando e controle. Em vez de incorporar um endereço fixo, os atacantes armazenaram o domínio do C2 dentro de um contrato inteligente TON. Quando o malware é executado, ele entra em contato com tonapi[.]io através de um método chamado "get_domain" para recuperar o endereço do servidor atual em tempo real.

Isso dá aos atacantes uma vantagem crítica. Se um servidor C2 for bloqueado ou desligado, eles atualizam o domínio dentro do contrato TON e todas as máquinas infectadas se reconectam automaticamente ao novo servidor sem nenhuma alteração no malware em si. A análise do histórico de transações confirmou múltiplas trocas de domínio C2, mostrando que esse mecanismo foi explorado ativamente durante toda a campanha.

O payload é um arquivo JavaScript executado através do Node.js, uma plataforma legítima e amplamente confiada. A ofuscação baseada em VM converte a lógica em um conjunto de instruções virtuais personalizadas que derrota a análise estática. Todo o tráfego é criptografado usando WebSocket com troca de chaves ECDH e AES-256-CBC, tornando a inspeção em nível de pacote largamente ineficaz contra essa ameaça.

Cadeia de infecção e táticas de persistência

O ataque começa quando uma vítima clica em um hiperlink em um e-mail de phishing, baixando um arquivo zip de um site malicioso. Dentro dele há um arquivo de atalho (.LNK) disfarçado como uma foto, e clicar nele aciona um comando PowerShell que busca um script PS1 do servidor do atacante e lança a cadeia de infecção completa. O script PS1 implanta o payload JavaScript e baixa silenciosamente o Node.js do nodejs.org para servir como o ambiente de execução.

O malware define uma chave de execução do registro do Windows para persistência e usa uma verificação de mutex para prevenir instâncias duplicadas. Essa mistura de comportamento malicioso e legítimo ajuda a evadir muitas ferramentas de segurança padrão. As organizações devem agir sem demora. A Trend Micro recomenda restringir a conectividade à plataforma TON, pois bloquear tonapi[.]io pode cortar o link do resolutor de ponto morto inteiramente.

Configurar o PowerShell para bloquear a recuperação externa de arquivos e monitorar o Node.js executando de caminhos AppData também são fortemente aconselhados. Revisar configurações, fortalecer o monitoramento de endpoint e atualizar procedimentos de resposta a incidentes são passos essenciais para organizações que podem ser alvo nesta campanha em andamento.

Indicadores de comprometimento e mitigação

Os indicadores de comprometimento (IoCs) incluem URLs específicas apontando para a API do TON, endereços de contrato inteligente TON e caminhos de arquivo no perfil do usuário. A URL https://tonapi[.]io/v2/blockchain/accounts/0:c6611f0e5635c4380441da7a79baf0c02a0ab7ea6cd78de06507fc5dc2c1a8d9/methods/get_domain é usada para resolver o domínio do servidor C2. O endereço do contrato inteligente 0:c6611f0e5635c4380441da7a79baf0c02a0ab7ea6cd78de06507fc5dc2c1a8d9 armazena o domínio C2 atual.

Outro contrato controlado pelo atacante, 0:6d5b44d0697e6bd6703f2cabd2531ccf5a0b11cc081f8f171a75bd679db4c12d41, é usado para atualizar os domínios do servidor C2. O nome de detecção é TrojanSpy.JS.TONRESOLVER.A. O payload JavaScript malicioso é salvo em %USERPROFILE%\AppData\Local\Nodejs\{filename}.js. O Node.js é implantado em %USERPROFILE%\AppData\Local\Nodejs\node-v24.13.0-win-x64\. O malware também usa a chave de registro HKCU\Software\Microsoft\Windows\CurrentVersion\Run para persistência.

Para mitigação, as organizações devem bloquear o domínio tonapi[.]io em seus firewalls e proxies. Monitorar o tráfego de saída para domínios de blockchain e verificar a execução de scripts JavaScript a partir de diretórios de usuário é crucial. A revisão de logs de PowerShell e a detecção de downloads de arquivos zip de fontes não confiáveis também devem ser priorizadas. A desativação de macros e a restrição de execução de scripts PowerShell não assinados podem ajudar a prevenir a fase inicial de infecção.

Perguntas frequentes

Como saber se meu sistema foi infectado? Verifique processos de Node.js executando de pastas AppData e tráfego de rede para domínios TON. O Node.js é malicioso? Não, mas o malware o baixa para executar seu payload. Como remover o malware? Remova os arquivos maliciosos, limpe as chaves de registro e bloqueie os domínios C2. Devo atualizar meu sistema? Sim, mantenha o Windows e o Node.js atualizados para corrigir vulnerabilidades conhecidas.


Baseado em publicação original de Cyber Security News
Publicado pela Redação Hack Alerta com base em fontes externas citadas e monitoramento editorial do Hack Alerta. Para decisões técnicas, operacionais ou jurídicas, confirme sempre os detalhes na fonte original.