As entidades ucranianas surgiram como alvo de uma nova campanha provavelmente orquestrada por agentes de ameaças ligados à Rússia, de acordo com um relatório da equipa de inteligência de ameaças LAB52 do S2 Grupo.
A campanha, observado em fevereiro de 2026, foi avaliado por compartilhar sobreposições com uma campanha anterior montada pelo Laundry Bear (também conhecido como UAC-0190 ou Void Blizzard) destinada às forças de defesa ucranianas com uma família de malware conhecida como PLUGGYAPE.
A atividade de ataque “emprega várias iscas judiciais e de caridade para implantar um backdoor baseado em JavaScript que funciona através do navegador Edge”, disse a empresa de segurança cibernética. Codinome APLICATIVO DE PERFURAÇÃOo malware é capaz de fazer upload e download de arquivos, aproveitando o microfone e capturando imagens pela webcam, aproveitando os recursos do navegador da web.
Duas versões diferentes da campanha foram identificadas, com a primeira iteração detectada no início de fevereiro, usando um arquivo de atalho do Windows (LNK) para criar um aplicativo HTML (HTA) na pasta temporária, que então carrega um script remoto hospedado no Pastefy, um serviço de colagem legítimo.
Para estabelecer a persistência, os arquivos LNK são copiados para a pasta de inicialização do Windows para que sejam iniciados automaticamente após a reinicialização do sistema. A cadeia de ataque exibe então um URL contendo iscas relacionadas à instalação do Starlink ou de uma instituição de caridade ucraniana chamada Come Back Alive Foundation.
O arquivo HTML é eventualmente executado por meio do navegador Microsoft Edge em modo sem cabeçaque então carrega o script ofuscado remoto hospedado no Pastefy.
O navegador é executado com parâmetros adicionais como –no-sandbox, –disable-web-security, –allow-file-access-from-files, –use-fake-ui-for-media-stream, –auto-select-screen-capture-source = true e –disable-user-media-security, concedendo-lhe acesso ao sistema de arquivos local, bem como câmera, microfone e captura de tela sem exigir qualquer interação do usuário.
O artefato funciona essencialmente como um backdoor leve para facilitar o acesso ao sistema de arquivos e capturar áudio do microfone, vídeo da câmera e imagens da tela do dispositivo por meio do navegador. Ele também gera uma impressão digital do dispositivo usando uma técnica chamada impressão digital de tela quando executado pela primeira vez e usa Pastefy como um resolvedor morto para buscar uma URL WebSocket usada para comunicações de comando e controle (C2).
O malware transmite os dados da impressão digital do dispositivo junto com o país da vítima, que é determinado pelo fuso horário da máquina. Ele verifica especificamente se os fusos horários correspondem ao Reino Unido, Rússia, Alemanha, França, China, Japão, EUA, Brasil, Índia, Ucrânia, Canadá, Austrália, Itália, Espanha e Polônia. Se não for esse o caso, o padrão é os EUA
A segunda versão da campanha, detectada no final de fevereiro de 2026, evita arquivos LNK para módulos do Painel de Controle do Windows, enquanto mantém a sequência de infecção praticamente intacta. Outra mudança notável envolve o próprio backdoor, que agora foi atualizado para permitir enumeração recursiva de arquivos, uploads de arquivos em lote e download arbitrário de arquivos.
“Por razões de segurança, o JavaScript não permite o download remoto de arquivos”, disse LAB52. “É por isso que os invasores usam o Chrome DevTools Protocol (CDP), um protocolo interno de navegadores baseados em Chromium que só pode ser usado quando o parâmetro –remote-debugging-port está ativado.”
Acredita-se que o backdoor ainda esteja nos estágios iniciais de desenvolvimento. Uma variante inicial do malware detectada em 28 de janeiro de 2026 foi observada apenas se comunicando com o domínio “gnome(.)com” em vez de baixar a carga primária do Pastefy.
“Um dos aspectos mais notáveis é o uso do navegador para implantar um backdoor, o que sugere que os invasores estão explorando novas maneiras de evitar a detecção”, disse o fornecedor de segurança espanhol.
“O navegador é vantajoso para esse tipo de atividade porque é um processo comum e geralmente não suspeito, oferece recursos estendidos acessíveis por meio de parâmetros de depuração que permitem ações inseguras, como download de arquivos remotos, e fornece acesso legítimo a recursos confidenciais, como microfone, câmera ou gravação de tela, sem acionar alertas imediatos.”
Deseja saber mais sobre Segurança Clique Aqui!