A cada mês, cibercriminosos encontram novas formas de comprometer sistemas e dados, mantendo organizações em constante alerta. Neste artigo, reunimos os ataques de malware e phishing mais preocupantes de dezembro de 2024, junto com dicas para proteger sua infraestrutura.
Campanhas de malware e phishing: ameaças de dezembro
Ataques de dia zero: arquivos corrompidos que passam despercebidos
Especialistas da plataforma ANY.RUN destacaram um ataque de dia zero que utiliza arquivos Word e ZIP corrompidos para contornar sistemas de segurança. Ativo desde agosto, o ataque explora a incapacidade de muitos softwares de detectar arquivos malformados.
Esses arquivos, ao serem abertos em aplicativos nativos, como Word ou WinRAR, são restaurados, revelando conteúdos maliciosos. Por exemplo, um documento recuperado analisado pela ANY.RUN exibiu um código QR contendo um link de phishing.
A solução da plataforma permite a detecção em tempo real e a análise completa dessas ameaças, fornecendo um ambiente seguro para interação com arquivos suspeitos.
Malware sem arquivo: ataque com Quasar RAT via PowerShell
Outro ataque recente envolve o uso do Psloramyra, um carregador “sem arquivo” que distribui o trojan Quasar RAT. Ele aproveita a técnica LoLBaS para executar scripts maliciosos diretamente na memória do sistema, sem deixar rastros no disco rígido.
O processo inclui a injeção do Quasar em processos legítimos, como o RegSvcs.exe, e a criação de tarefas agendadas para persistência. Isso dificulta a detecção por ferramentas tradicionais de segurança.
Phishing com Azure Blob Storage
Cibercriminosos estão explorando o armazenamento da Azure para hospedar páginas de phishing, utilizando o subdomínio confiável *.blob[.]core[.]windows[.]net.
Essas páginas imitam formulários de login legítimos e coletam credenciais de usuários. Um script personalizado analisa o sistema operacional e o navegador da vítima, aumentando a credibilidade da página fraudulenta.
Emmenhtal Loader: entregando diversas ameaças
O Emmenhtal Loader é outra ameaça emergente. Ele utiliza arquivos LNK para iniciar uma cadeia de execução que inclui comandos criptografados e ferramentas como o Mshta, resultando na instalação de malwares como Lumma, Amadey e outros.
Ao final, o malware executa um payload (como Updater.exe) que compromete totalmente o sistema da vítima.