Recentemente, as equipes de resposta a incidentes da Ucrânia identificaram uma nova família de malware que nomearam como AgingFly, lançada em campanhas contra administrações locais e centros de saúde. Segundo o relatório público do CERT-UA, as intrusões não só buscavam informações institucionais: as evidências forenses sugerem que também houve tentativas de comprometer pessoal vinculado às Forças de Defesa.
O ponto de entrada é clássico, mas efetivo: uma mensagem de e-mail que simula uma oferta de ajuda humanitária e inclui um link para “mais informação”. Esse link pode levar a um site legítimo que anteriormente foi violado mediante cross-site scripting (XSS) ou a uma página falsa criada por ferramentas de inteligência artificial. O objetivo é induzir o usuário a baixar um arquivo comprimido que contém acesso direto (LNK) que, ao ativar, invoca o gerenciador HTA integrado no Windows.
O arquivo HTA é baixado e executado de um recurso remoto, mostra um formulário de distração para não levantar suspeitas e criar uma tarefa programada cujo propósito é recuperar e lançar um executável. Esse EXE injeta shellcode num processo legítimo e dá passo a um carregador em duas etapas: a segunda fase usa um formato executável personalizado e o payload final chega comprimido e criptografia.
Para estabelecer comunicação com seus operadores, os atacantes utilizaram técnicas de "staging": foram utilizados stagers tipo reverse shell baseados em TCP (CERT-UA menciona equivalentes a RAVENSHELL) e um canal cifrado com XOR para um servidor de comando e controle (C2) para executar comandos através do intérprete de comandos do Windows. Além disso, os operadores usam um programa em PowerShell chamado SILENTLOOP que controla a execução de ordens, atualiza configurações e obtém o endereço do C2 a partir de um canal do Telegram ou através de mecanismos de reserva.
A carga final, AgingFly, está escrita em C# e fornece controle remoto, execução de comandos, exfiltração de arquivos, captura de telas, registro de teclas e capacidade de executar código arbitrário. Uma particularidade relevante é que o malware não armazena internamente seus gerenciadores de comandos: em vez de incluí-los, os recupera como código fonte do servidor C2 e os compila na máquina vítima em tempo de execução. Como explica o próprio CERT-UA, esta estratégia reduz o tamanho do payload inicial e permite que os atacantes alterem ou ampliem funcionalidades sob demanda, embora à custa de depender da conectividade ao C2 e de aumentar a pegada em tempo de execução.
Em várias das invasões analisadas, os responsáveis também trouxeram credenciais e dados de navegação. Para isso, utilizaram ferramentas forenses de código aberto capazes de extrair e decifrar informações armazenadas por navegadores baseados em Chromium, como cookies e senhas guardadas, sem necessidade de privilégios administrativos. Da mesma forma, eles tentaram recuperar dados do aplicativo do WhatsApp para Windows através de utilitários que permitem decifrar suas bases de dados locais.
O ator por trás dessas operações não se limitou ao roubo de credenciais: deu origem a atividades de reconhecimento e movimento lateral dentro das redes comprometidas. Para estas fases, recorreu a ferramentas públicas bem conhecidas na comunidade, incluindo scanners de portos e soluções de tunneling que facilitam o acesso e o desvio de tráfego para servidores fora da rede alvo. Repositórios públicos como os de RustScan, ligolo-ng e Chisel São exemplos de projetos que, embora legítimos, podem ser utilizados para esses fins nas mãos de atores maliciosos.
A CERT-UA atribuiu estas campanhas a um cluster de ameaças que registram como UAC-0247 e publicou indicações técnicas e mitigações. Entre elas figura a recomendação explícita de bloquear a execução de arquivos LNK, HTA e JS como uma medida para interromper a cadeia de ataque que esses operadores usam.
Para além do bloqueio de tipos de ficheiros, existem medidas práticas que reduzem o risco: activar a autenticação multifator em todas as contas, rodar palavras-passe expostas, limitar os privilégios locais, rever e restringir as tarefas programadas, monitorizar as ligações salientes invulgares e utilizar soluções EDR que detectem injeções de processos ou compilações dinâmicas. As organizações também devem reforçar a higiene do e-mail com filtragem de links e sandboxing, e manter programas de sensibilização para que o pessoal identifique senheiros como ofertas de ajuda ou arquivos comprimidos inesperados.
Se você procura referências para aprofundar, você pode ler o aviso técnico do CERT-UA onde são detalhados indicadores e táticas observadas: CERT-UA: relatório sobre AgingFly. Para guias de mitigação e regras aplicáveis em ambientes Windows, convém rever a documentação da Microsoft sobre redução de superfície de ataque e regras ASR, que permitem bloquear a execução de tipos de arquivos perigosos: Microsoft Defender – Attack Surface Reduction. E para melhores práticas frente ao phishing, a agência CISA mantém recomendações práticas e recursos formativos: CISA – Tips e alertas de segurança.
O caso de AgingFly lembra duas lições importantes: a primeira, que muitas cadeias de intrusão começam com técnicas de engenharia social muito simples; a segunda, que os desenvolvimentos legítimos de código aberto e as ferramentas de administração podem ser reutilizados por atacantes para fins de espionagem ou sabotagem. Neste contexto, a combinação de controlos técnicos, visibilidade contínua e formação do pessoal continua a ser a defesa mais eficaz para organizações com perfis sensíveis como governos locais e hospitais.
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
RAMPART e Clarity redefinem a segurança dos agentes da IA com testes reprodutíveis e governança desde o início
A Microsoft apresentou duas ferramentas de código aberto, RAMPART e Clarity, que visam alterar a forma como a segurança dos agentes da IA é testada: uma máquina de computador e ...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...