8 notícia(s) relacionada(s).
Reunimos nesta página as publicações do Hack Alerta relacionadas a msi.
Novo backdoor DinDoor utiliza runtime Deno e instaladores MSI para evadir detecção, vinculado ao grupo APT Seedworm, exigindo monitoramento específico de processos e restrições de execução.
Pesquisa relata campanha de phishing que usa convites de festa falsos para forçar o download de um MSI que instala o cliente ScreenConnect em Windows, criando serviço persistente e conexões HTTPS para servidores de retransmissão. A ação foi identificada principalmente no Reino Unido pela Malwarebytes.
A Zscaler ThreatLabz observou nova atividade do downloader Matanbuchus, que entrega estágios via instaladores MSI e rotaciona componentes para evitar detecção. Um C2 apontado foi hxxps://nady[.]io/check/robot.aspx, e algumas amostras apresentaram detecções zero em scanners.
A campanha TamperedChef distribui um infostealer via instaladores trojanizados promovidos por anúncios de busca. Usuários baixam um Appsuite‑PDF.msi que estabelece persistência e, após ~56 dias, coleta credenciais e cookies. Sophos detectou mais de 100 sistemas; a operação usou certificados válidos para evitar SmartScreen.
Campanha de engenharia social mira desenvolvedores Web3: candidatos baixam collaborex_setup.msi durante entrevistas, abrindo C2 (179.43.159.106) com risco de exfiltração de chaves e credenciais. Bloqueio de installs e EDR são recomendados.
Campanha de phishing imita o anúncio do cliente Eternl Desktop e distribui um instalador MSI malicioso que esconde o componente GoTo Resolve (LogMeIn). A amostra cria arquivos de configuração locais e se comunica com infraestrutura associada ao serviço legítimo, abrindo canal para persistência remota. Não há números públicos de vítimas nem posicionamento oficial das partes envolvidas.
SecurityWeek reporta que placas-mãe da ASRock, Asus, Gigabyte e MSI são vulneráveis a ataques DMA no estágio inicial de boot. O extrato no feed não traz modelos afetados, CVEs ou confirmações de exploração ativa, exigindo acompanhamento das fabricantes.
Kaspersky GReAT descreve o Tsundere, botnet Node.js distribuído via MSI e PowerShell que usa um smart contract Ethereum para publicar endereços WebSocket de C2; o ecossistema inclui painel com marketplace e builds, e IoCs (IPs, hashes) estão listados no relatório.