APT37 usa engenharia social no Facebook e instalador adulterado para distribuir malware
Grupo APT37 lança campanha sofisticada usando Facebook e instalador adulterado do PDFelement para distribuir malware fileless e exfiltrar dados.
Tag
Tag: fileless
20 notícia(s) relacionada(s).
Reunimos nesta página as publicações do Hack Alerta relacionadas a fileless.
RAT DesckVB usa JavaScript ofuscado e carregador .NET sem arquivo para evadir detecção
Novo RAT DesckVB usa JavaScript ofuscado e carregador .NET sem arquivo para evadir detecção. Ameaça inclui keylogging e acesso remoto, exigindo monitoramento de PowerShell.
Malware ClipBanker usa cadeia de infecção longa para roubar criptomoedas
Malware ClipBanker usa cadeia de infecção longa e técnicas fileless para roubar criptomoedas, disfarçado de software Proxifier.
Campanha ClickFix distribui RAT MIMICRAT com técnicas avançadas de evasão
Pesquisadores descobriram a campanha ClickFix, que usa engenharia social via pop-ups falsos do Cloudflare para distribuir o RAT MIMICRAT. O malware usa técnicas fileless e ofuscação para desativar defesas e se comunicar de forma sigilosa com C2s.
KongTuke usa registros DNS TXT para 'staging' de payloads em ClickFix
Unit 42 observou que o grupo KongTuke passou a usar registros DNS TXT como mecanismo de staging no esquema ClickFix: o snippet executado pelo usuário consulta TXT records para obter o comando que dispara um PowerShell malicioso. A técnica dificulta detecção por ferramentas que não inspecionam DNS ou correlacionam logs de execução.
DesckVB RAT: novo RAT modular executa payloads em memória
DesckVB RAT v2.9 combina um stager WSH ofuscado, um estágio PowerShell com checagens anti‑análise e um loader .NET que executa em memória. Sua arquitetura plugin‑based permite entrega dinâmica de keylogger, webcam e módulos AV‑enumerator. Recomendações: restringir wscript.exe, habilitar logging do PowerShell e usar EDR com telemetria de execução em memória.
Campanha macOS usa e-mails de compliance com anexos AppleScript para roubar credenciais
Campanha de phishing contra macOS usa e‑mails de "compliance" e anexos AppleScript com dupla extensão para roubar senhas administrativas, contornar TCC e manter persistência; infraestrutura inclui domínio sevrrhst[.]com.
APT Chollima usa atalho LNK e execução em memória para campanhas direcionadas
A campanha 'Operation: ToyBox Story', atribuída ao grupo Ricochet Chollima, usa atalhos .LNK, comandos PowerShell ocultos e injeção de shellcode em memória para comprometer ativistas e organizações sobre a Coreia do Norte. Os operadores usam a API do Dropbox como canal de comando e controle, segundo análises citadas na cobertura.
ShadowHS: malware fileless para Linux opera totalmente na memória
Pesquisadores da Cyble descreveram o ShadowHS, um framework fileless para Linux que executa payloads cifrados em memória via file descriptors anônimos. O malware inclui rotinas de fingerprint de EDR, módulos latentes para roubo de credenciais, movimentação lateral, exfiltração por túneis em espaço de usuário e até capacidades de mineração. A operação exclusiva em memória complica resposta a incidentes e requer coleta de memória ativa.
Caminho Loader: loader‑as‑a‑service usa esteganografia e afeta vítimas no Brasil
Caminho Loader é um loader‑as‑a‑service identificado pela sandbox ANY.RUN que esconde assemblies .NET em imagens via esteganografia LSB e entrega payloads como REMCOS e AsyncRAT. Amostras com strings em português e o namespace "HackForums.gigajew" reforçam ligação ao Brasil; vítimas foram confirmadas no Brasil, África do Sul, Ucrânia e Polônia.