Raw Record Source

{
  "$type": "site.standard.document",
  "bskyPostRef": {
    "cid": "bafyreif5gn32wmzygo4awjoq4pira7gjitzzb4rgdnekxb4moi2y3ndh3q",
    "uri": "at://did:plc:ulfbtqn2ybcgbzf27z75qrvu/app.bsky.feed.post/3mjn6dcetgfg2"
  },
  "coverImage": {
    "$type": "blob",
    "ref": {
      "$link": "bafkreiddtm45nkpwlqislmj7djybqzbvsq5yzkd4d7ejipwju56rg3kwom"
    },
    "mimeType": "image/jpeg",
    "size": 20401
  },
  "path": "/seguranca/412452-agingfly-malware-rouba-dados-do-chrome-e-whatsapp-na-ucrania.htm",
  "publishedAt": "2026-04-16T18:00:00.000Z",
  "site": "https://www.tecmundo.com.br",
  "tags": [
    "Segurança"
  ],
  "textContent": "Um novo malware identificado como AgingFly está sendo usado em ataques contra governos locais, hospitais e possivelmente representantes das Forças de Defesa da Ucrânia. O objetivo é roubar credenciais armazenadas em navegadores baseados em Chromium e no WhatsApp para Windows.\n\nOs ataques foram detectados no mês passado pela equipe de resposta a incidentes do país, o CERT-UA, que atribuiu a campanha ao grupo de ameaças rastreado como UAC-0247.\n\n## Isca de ajuda humanitária dá início à cadeia de infecção\n\nO ataque começa com um e-mail que se apresenta como uma oferta de ajuda humanitária, contendo um link que redireciona a vítima para um site legítimo comprometido via vulnerabilidade de cross-site scripting (XSS).\n\nÀ esquerda, conversa no aplicativo Yar usada como vetor de distribuição; ao centro e à direita, trecho do código-fonte do AgingFly em C# com os métodos de controle remoto e a chave de criptografia AES hardcoded. Imagem: CERT-UA.\n\nFunciona basicamente como uma falha que permite injetar código malicioso em páginas de terceiros. Há também o método que direciona a vítima para um site falso gerado com uma ferramenta de IA.\n\nA partir daí, o alvo recebe um arquivo compactado contendo um atalho LNK. Esse arquivo ativa um manipulador HTA embutido, que se conecta a um servidor remoto para baixar e executar outro arquivo HTA.\n\nO HTA exibe um formulário falso para distrair a vítima enquanto cria uma tarefa agendada em segundo plano. Essa tarefa baixa e executa um arquivo EXE que injeta shellcode em um processo legítimo do sistema.\n\nVisão geral da cadeia de infecção do AgingFly: e-mail com isca judicial, execução do HTA via mshta.exe, tarefa agendada OneDriveUpdater e conexão WebSocket com o servidor C2. Imagem: CERT-UA.\n\nOs invasores seguem com um carregador de duas etapas: a segunda usa um formato executável personalizado, e a carga final chega compactada e criptografada. O CERT-UA observa que stagers como um shell reverso TCP ou o RAVENSHELL podem ser usados nessa fase para estabelecer conexão com o servidor de comando e controle.\n\n## Ferramentas legítimas de segurança usadas para roubar dados\n\nApós investigar mais de uma dúzia de incidentes, os pesquisadores identificaram que o grupo usa a ferramenta de segurança de código aberto ChromElevator. Ela serve para extrair cookies, senhas salvas e outros dados confidenciais de navegadores como Chrome, Edge e Brave — sem precisar de privilégios de administrador.\n\nPara o WhatsApp, os invasores recorrem ao ZAPiDESK, uma ferramenta forense de código aberto capaz de descriptografar os bancos de dados do aplicativo.\n\nTroca de e-mails entre a vítima e o remetente malicioso se passando pelo fundo \"УкрВарта\"; os invasores conduzem a conversa até enviar um link para download do arquivo armado. Imagem: CERT-UA.\n\nO grupo também realiza reconhecimento de rede e tenta se mover lateralmente usando utilitários públicos. O primeiro é o scanner de portas RustScan, além das ferramentas de tunelamento Ligolo-ng e Chisel.\n\n## Malware compila seus próprios comandos em tempo real\n\nO AgingFly é escrito em C# e oferece aos operadores controle remoto, execução de comandos, exfiltração de arquivos, captura de tela, registro de teclas digitadas e execução de código arbitrário. A comunicação com o servidor C2 ocorre via WebSockets, com tráfego criptografado por AES-CBC usando uma chave estática.\n\nO que diferencia o AgingFly de malwares similares é a ausência de manipuladores de comando embutidos no código. Em vez de já vir com funcionalidades fixas, o malware recebe o código-fonte dos comandos diretamente do servidor C2 e os compila dinamicamente em tempo de execução no próprio sistema da vítima.\n\nExemplo de e-mail de phishing usado pelo UAC-0247, com o código malicioso do arquivo HTA exposto ao lado; a isca imita comunicado oficial sobre restrições de internet móvel na Ucrânia. Imagem: CERT-UA.\n\nIsso porque a abordagem permite uma carga inicial menor, facilita a atualização de funcionalidades sob demanda e dificulta a detecção por análise estática, que examina o arquivo sem executá-lo.\n\nA contrapartida é maior complexidade operacional, dependência da conectividade com o C2 e maior consumo de memória durante a execução, o que paradoxalmente aumenta o risco de detecção comportamental.\n\nO CERT-UA recomenda bloquear a execução de arquivos com as extensões LNK, HTA e JS como medida para interromper a cadeia de ataque dessa campanha.\n\nAcompanhe o TecMundo nas redes sociais. Para mais notícias de segurança e tecnologia, inscreva-se em nossa newsletter e canal do YouTube.",
  "title": "AgingFly: malware rouba dados do Chrome e WhatsApp na Ucrânia"
}