7 notícia(s) relacionada(s).
Reunimos nesta página as publicações do Hack Alerta relacionadas a obfuscation.
VVS Stealer, família de malware em Python, usa PyArmor (v9.1.4 Pro), AES-128 CTR e modo BCC para ofuscar bytecode e complicar análise. Após deobfuscação revela roubo de tokens do Discord, injeção de sessões e extração de dados de navegadores.
K7 Labs descreve malware Python que esconde um fragmento marshalled .pyc num blob de 65 MB, reconstrói um runtime e injeta em cvtres.exe após múltiplas camadas de deobfuscação (Base64, BZ2, zlib, marshal), estabelecendo C2 criptografado.
A ASEC identificou uma campanha de apps Android que se passam por um serviço de entrega coreano e usam obfuscação com IA (ProGuard modificado) para dificultar análise; o malware exfiltra dados via blogs coreanos comprometidos e inclui cinco hashes MD5 confirmados.
A campanha TamperedChef distribui instaladores falsos assinados com certificados EV comprados por shell companies para entregar backdoors. A operação usa SEO e malvertising para atrair vítimas, cria uma tarefa agendada via task.xml e executa JavaScript ofuscado como payload, mantendo persistência e permitindo execução remota.
Pesquisas públicas identificaram o RAT ScoringMathTea, atribuído ao grupo Lazarus na operação "Operation DreamJob"; o malware em C++ usa resolução dinâmica de APIs, cifragem TEA/XTEA, reflective plugin loading e múltiplas camadas de obfuscação para manter persistência e executar comandos remotos, direcionando-se a fornecedores de UAV ligados à Ucrânia.
Pesquisadores do Internet Storm Center identificaram uma campanha de Formbook que usa anexos ZIP com scripts VBS, PowerShell e executáveis em cadeia. Apenas 17 de 65 AVs detectaram o VBS inicial; o payload final é baixado do Google Drive e injeta código em msiexec.exe, conectando-se a C2 em 216.250.252.227:7719.
Pesquisadores da CyberProof encontraram fortes semelhanças técnicas entre os trojans bancários Maverick e Coyote. As campanhas iniciam por ZIPs enviados via WhatsApp com LNK que disparam PowerShell ofuscado, direcionadas a mais de 50 instituições financeiras brasileiras; persistência e ofuscação indicam provável origem compartilhada.