Pesquisadores de cibersegurança identificaram uma campanha ativa que está explorando o temor fiscal para infectar equipamentos na Índia com um backdoor em várias fases, aparentemente para fins de espionagem. Os atacantes enviam e-mails que simulam notificações do Departamento de Impostos sobre supostas penalidades e, quando a vítima abre o arquivo anexo, começa uma cadeia de compromisso projetada para manter acesso persistente e extrair informações sensíveis.
A desagregação técnica publicada pela equipe de eSentire mostra que o ataque arranca com um arquivo ZIP que apenas mostra um executável visível intitulado "Inspection Document Review.exe". Esse executável vale de uma técnica de sideloading para carregar um DLL maliciosa incluído no mesmo pacote. Esse DLL incorpora rotinas para detectar ambientes de análise e depuração, e conta com um servidor externo para baixar a próxima etapa do ataque, incluindo shellcode com capacidades de elevação de privilégios.
Para escalar privilégios, o carregador usa uma técnica baseada em COM que evita o aviso de Controle de Contas de Usuário (UAC) e, como medida de ocultação, modifica sua própria estrutura de processo — o chamado Process Environment Block ( PEB)— para aparentar ser o processo legítimo do Windows "explorer.exe". Assim, reduz as possibilidades de ser detectado por controles básicos de monitoramento.
Desde o servidor de comando e controle, um instalador Inno Setup, batizado como "180.exe" e hospedado em um domínio suspeito. Esse instalador adapta seu comportamento de acordo com a presença do processo de Avast ("AvastUI.exe"); se detectar o antivírus, o malware automatiza o movimento do rato e a interação com a interface do Avast para adicionar certos arquivos à lista de exclusões, em vez de tentar desativar o motor de proteção. Esse truque permite que os componentes maliciosos evitem a detecção sem chamar a atenção por mudanças evidentes na configuração do produto de segurança.
Um dos binários que se marca como excluído é uma utilidade chamada "Setup.exe", que escreve em disco um executável chamado "mysetup.exe". Esse binário é identificado como SyncFuture TSM, uma ferramenta comercial de gestão remota desenvolvida por uma empresa chinesa. Nesse cenário, os atacantes estão reutilizando um produto legítimo de administração remota para controlar de forma encoberta os endpoints comprometidos: gravar atividade do usuário, gerenciar tarefas à distância e exfiltrar dados com grande discrição.
Paralelamente, é detectada a presença de um DLL associado à família Blackmoon (também conhecida como KRBanker), um troiano bancário que foi transformado e tem aparecido em campanhas contra empresas na Coreia do Sul, Estados Unidos e Canadá. Blackmoon é um exemplo de como famílias de malware originalmente orientadas para a fraude financeira evoluem para conjuntos de capacidades mais amplas e flexíveis, aptas para trabalhos de espionagem.
Após a execução do instalador e o lançamento do agente RMM malicioso, a campanha exibe também uma série de programas e utilitários que facilitam a persistência: arquivos em lotes que criam diretórios personalizados e ajustam permissões, scripts que manipulam permissões sobre pastas de usuário e uma limpeza que tenta apagar impressões. Outro executável catalogado como "MANC.exe" atua como orquestrador, levantando serviços e habilitando um registro detalhado da atividade. Tudo isso procura fornecer aos atacantes controle granular e um canal robusto para manter o acesso a longo prazo.
As implicações desta combinação técnica são claras: ao misturar técnicas de anti-análise, elevação de privilégios, DLL sideloading, abuso de software comercial e táticas de evasão de soluções de segurança, os atores mostram tanto capacidade técnica quanto intenção de manter espionagem sustentada. Além disso, o uso de ferramentas legítimas como parte da cadeia complica a detecção e a atribuição, porque o tráfego e os processos podem ser confundidos com operações administrativas aceites pelas organizações.
Para contextualizar, Blackmoon não é um ator novo; sua evolução está documentada por assinaturas e análise da indústria ( Broadcom, Unit42, Rapid7) e as táticas observadas nesta operação —phishing dirigido, exploração de confiança em ferramentas legítimas, e evasão de antivírus — encaixam com campanhas de coleta de inteligência em escala.
A campanha que afetou usuários na Índia foi documentada por eSentire; eles descrevem como a infraestrutura e as decisões de projeto da cadeia de ataque apontam para uma operação coordenada e bem preparada, embora por agora não haja uma atribuição pública a um grupo concreto ( Relatório do eSentire).
Do ponto de vista da defesa, a ameaça sublinha o perigoso que é confiar na legitimidade aparente de um arquivo ou na suposta proveniência institucional de um e-mail. Manter práticas de higiene digital como verificar comunicações fiscais nos canais oficiais, evitar abrir anexos de proveniência duvidosa e verificar a assinatura digital de instaladores pode evitar a entrada inicial do ataque. A nível organizacional, medidas como o endurecimento de políticas de controle de aplicativos, o monitoramento de mudanças em listas de exclusão de soluções de segurança, a segmentação de privilégios administrativos e a implantação de soluções EDR com capacidade para detectar técnicas de sideloading e manipulação do PEB aumentam significativamente a resiliência.
Também é importante que as equipes de segurança investiguem qualquer interação automatizada com a interface de um antivírus – por exemplo, movimentos incomuns do cursor ou mudanças recentes em regras de exclusão – e que bloqueiem ou coloquem em quarentena executáveis provenientes de domínios ou infraestruturas maliciosas conhecidas. Para aqueles que gerenciam ambientes Windows, revisar configurações de UAC e controlar o uso de ferramentas RMM de terceiros pode reduzir a superfície de abuso.
A reutilização de software legítimo para fins maliciosos não é nova, mas está ganhando relevância: permite aos atacantes capitalizar a confiança que os administradores depositam em utilitários comerciais e, ao mesmo tempo, dificulta a resposta imediata. É por isso que, para além do sistema transdérmico e actualização, a defesa passa por combinar controlos técnicos, procedimentos de verificação e formação a utilizadores para reconhecer senhões como avisos fiscais fraudulentos.
Se você quiser aprofundar os detalhes técnicos e indicadores de compromisso relatados, as análises da indústria oferecem material útil e verificado: além do estudo de eSentire, você pode consultar o histórico e as fichas técnicas de Blackmoon por parte de Broadcom, os relatórios Unit42 e investigação Rapid7. Para quem precisa rever amostras concretas, há entradas públicas em repositórios de análise como Vírus total que documentam alguns dos componentes detectados.
Num mundo onde os atacantes combinam engenharia social e abuso de ferramentas legítimas, a melhor defesa é uma mistura de ceticismo informado, controles técnicos adequados e colaboração entre equipamentos de segurança e fornecedores para compartilhar indicadores e mitigar rapidamente novas variantes.
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
RAMPART e Clarity redefinem a segurança dos agentes da IA com testes reprodutíveis e governança desde o início
A Microsoft apresentou duas ferramentas de código aberto, RAMPART e Clarity, que visam alterar a forma como a segurança dos agentes da IA é testada: uma máquina de computador e ...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...