8 notícia(s) relacionada(s).
Reunimos nesta página as publicações do Hack Alerta relacionadas a dll-side-loading.
Atacantes exploram Microsoft Teams e Quick Assist para enganar funcionários e obter acesso remoto, utilizando DLL side-loading para persistência e movimentação lateral em redes corporativas.
Pesquisadores detectaram campanha do grupo ScarCruft usando OLE em documentos HWP para entregar ROKRAT e abusando de serviços em nuvem (pCloud, Yandex) para C2. A operação emprega DLL side-loading, steganografia e uma chave xor de 1 byte para decriptação do payload.
Pesquisadores relatam uma campanha ativa que explora DLL side‑loading ligada à biblioteca c‑ares: atacantes emparelham uma libcares-2.dll maliciosa com versões assinadas do ahost.exe para contornar controles e entregar trojans e stealers. Detalhes públicos descrevem o vetor e recomendações de defesa; não há, na fonte, métricas públicas de alcance ou lista de vítimas.
Pesquisadores identificaram a campanha que usa ValleyRAT_S2 como backdoor de segundo estágio: entrega por DLL side‑loading, spearphishing e instaladores trojanizados; comportamento inclui roubo de credenciais, persistência por scripts watchdog e comunicação com C2 hardcoded (ex.: 27.124.3.175:14852). Dados sobre número de vítimas e presença no Brasil não foram divulgados.
Relatório do Cyber Security News descreve as operações do grupo ToddyCat, que explora Exchange (incluindo ProxyLogon), implanta web shells e usa técnicas avançadas como BYOVD e DLL side‑loading para persistir e coletar credenciais, incluindo tokens OAuth do Microsoft 365.
Campanha 'Operation Artemis' usa documentos HWP e impersona roteiristas de emissoras sul‑coreanas para distribuir malware via DLL side‑loading. Forense aponta RoKRAT e infraestrutura de C2 em Yandex Cloud; detecção exige EDR comportamental.
Pesquisadores da LAC Watch identificaram uma campanha que explora CVE-2024-21893 e CVE-2024-21887 no Ivanti Connect Secure para instalar variantes PlugX — incluindo MetaRAT — usando DLL side-loading, camadas de cifragem (XOR e AES-256-ECB) e compressão LZNT1. Há sinais de movimentação lateral com credenciais AD e indicadores como ERR31093 e serviços/arquivos suspeitos.
Campanha ValleyRAT usa arquivos de recrutamento falsos e um executável que imita o Foxit PDF Reader para carregar msimg32.dll via DLL side‑loading; Trend Micro registrou pico de detecções em outubro e descreve a cadeia completa de execução e persistência.