Gerador de malware Linux ELF evade detecção por machine learning
Pesquisa revela gerador de malware Linux ELF que evade detecção por ML com 67,74% de sucesso. Estudo da Universidade Tcheca expõe falhas em detectores de segurança.
Tag
Tag: evasion
10 notícia(s) relacionada(s).
Reunimos nesta página as publicações do Hack Alerta relacionadas a evasion.
Atacantes transformam QEMU em backdoor furtivo para roubo de credenciais e ransomware
Atacantes estão utilizando o QEMU como backdoor furtivo para roubar credenciais e entregar ransomware, explorando a invisibilidade de VMs para controles de segurança de endpoint. Campanhas STAC4713 e STAC3725 visam ambientes de hipervisor com técnicas avançadas de evasão.
Ataques com atalho LNK disseminam ransomware "Global Group" em campanha ligada ao Phorpiex
Pesquisa da Forcepoint detalha campanha que usa arquivos .lnk com dupla extensão para entregar o ransomware Global Group (linha Mamona/Phorpiex). O malware opera em modo offline e emprega técnicas anti‑forense.
Matanbuchus retorna com carregadores MSI e mudanças para evadir antivírus
A Zscaler ThreatLabz observou nova atividade do downloader Matanbuchus, que entrega estágios via instaladores MSI e rotaciona componentes para evitar detecção. Um C2 apontado foi hxxps://nady[.]io/check/robot.aspx, e algumas amostras apresentaram detecções zero em scanners.
Campanha usa PNG 'polyglot' para entregar infostealer PURELOGS
Analistas da Swiss Post Cybersecurity documentaram uma campanha que usa PNGs "polyglot" hospedados em infraestrutura legítima (ex.: archive.org) para entregar o infostealer PURELOGS. O vetor começa com phishing e um JScript dropper que baixa uma imagem contendo um payload Base64 inserido após o IEND do PNG entre marcadores "BaseStart-" e "-BaseEnd". O código é decodificado e carregado diretamente em memória via .NET Reflection e executado por Pow
Campanha TamperedChef usa Google Ads para distribuir infostealer via PDFs
A campanha TamperedChef distribui um infostealer via instaladores trojanizados promovidos por anúncios de busca. Usuários baixam um Appsuite‑PDF.msi que estabelece persistência e, após ~56 dias, coleta credenciais e cookies. Sophos detectou mais de 100 sistemas; a operação usou certificados válidos para evitar SmartScreen.
Turla: loader Kazuar v3 usa ETW/AMSI para evitar detecção
A versão 3 do loader Kazuar, atribuída ao Turla, implementa um bypass patchless para ETW e AMSI usando breakpoints de hardware e vectored exception handlers, combinada com DLL sideloading e persistência via COM.
GhostLocker: ferramenta usa AppLocker para neutralizar EDRs
Pesquisador liberou GhostLocker, ferramenta que usa políticas do AppLocker para bloquear serviços userland de EDRs, deixando apenas drivers em kernel ativos e comprometendo a análise. Relatos apontam neutralização em testes contra produtos comerciais; não há indicação de exploração em massa.
Rootkits BPFDoor e Symbiote: eBPF é usado para backdoors quase indetectáveis
BPFDoor e Symbiote evoluíram para usar eBPF como canal de backdoor em nível de kernel; em 2025 foram detectadas 151 amostras de BPFDoor e 3 de Symbiote. Variantes suportam IPv6, port-hopping e filtragem de DNS.
Olymp Loader: MaaS em Assembly com foco em evasão e remoção do Defender
Olymp Loader, um MaaS escrito em Assembly e anunciado em fóruns underground desde junho/2025, tem recursos de evasão avançada e técnicas para neutralizar o Windows Defender, além de entregar payloads como LummaC2 e Raccoon Stealer.