Nos últimos meses surgiu uma cadeia de infecção que combina engenharia social clássica com técnicas técnicas cada vez mais refinadas para passar desapercibida. Os pesquisadores de BlackPoint Cyber documentaram uma campanha que emprega uma página de verificação falsa tipo CAPTCHA para enganar o usuário e conseguir que cole e execute um comando a partir do quadro Executar do Windows. O que poderia parecer um truque simples é apenas a primeira peça de uma sequência desenhada para usar utilitários legítimos do sistema e esconder a atividade maliciosa.
O vetor de confiança aqui é a Microsoft Application Virtualization (App‐V), uma funcionalidade pensada para empresas que permite executar aplicativos empacotados em ambientes virtualizados sem instalar de maneira tradicional. Nesta campanha os atacantes abusam de um programa legítimo associado ao App‐V, SyncAppvPublishingServer.vbs, e executam-no com o wscript.exe — um binário assinado pela Microsoft — para lançar o PowerShell. Deste modo, convertem um componente oficial num "proxy" para executar código malicioso, uma técnica conhecida por aproveitar binários de sistema para evitar controles de segurança e que em termos de ATT&CK se relaciona com o uso de ferramentas legítimas do sistema como T1218 ( Living-off-the-Land Binaries).
Antes de prosseguir, o comando que a vítima deve colar valida várias condições: verifica que a ação foi realizada por uma pessoa (não por um sandbox automatizado), verifica o comando de execução esperado e até rever que a área de transferência não tenha sofrido alterações. Se detectar sinais de análise automática, a execução é “congelada” por esperas infinitas para desperdiçar recursos de análise. Só quando as condições dos atacantes são cumpridas, a cadeia continua a transferir parâmetros de configuração de um recurso público do Google Calendar: os valores estão codificados com base64 dentro de um evento específico.
A sofisticação aumenta nas fases seguintes. Os atacantes lançam um processo PowerShell de 32 bits escondido através do Windows Management Instrumentation (WMI), decifram cargas incorporadas e carregam componentes diretamente em memória. Mais adiante, ocultam um payload criptografado dentro de imagens PNG alojadas em CDN públicos: empregam esteganografia pelo bit menos significativo para inserir dados em pixels, recuperam essas imagens usando chamadas WinINet resolvidas dinâmicamente, extraem os bits ocultos, decifram o resultado e o descomprimen (GZip) para executar integralmente em memória. A vítima raramente verá arquivos em disco; tudo acontece em RAM.
O estádio final da cadeia decifra e executa código nativo em memória que exibe Amatera, um info-stealer que, segundo BlackPoint, rouba credenciais e dados do navegador e que, por sobreposição de código, deriva do conhecido ACR stealer. Amatera é comercializado como malware‐as‐a-service (MaaS) e foi incorporando mecanismos de evasão em cada iteração; análise prévia de Proofpoint Eles mostram sua evolução para técnicas mais sofisticadas.
Uma vez ativo, o malware contacta um servidor de comando duro (hardcoded) para obter mapas de endpoints e permanece à espera de instruções ou binários adicionais entregues por POST HTTP. Este comportamento faz com que a detecção em rede continue sendo muito útil: padrões de tráfego, domínios e discrepâncias entre cabeçalhos HTTP ou SNI TLS frente ao endereço IP de destino são indicadores que podem delatar a comunicação maliciosa.
Se você perguntas por que esta campanha funciona apesar das protecções existentes, a resposta está na mistura de dois fatores: enganar a pessoa para executar um comando legítimo e depois usar componentes do Windows assinados ou serviços públicos (Google Calendar, CDNs) para alojar e recuperar configurações e cargas úteis. Essa combinação reduz os sinais típicos de malware e complica a identificação por assinaturas tradicionais.
Para reduzir o risco existem várias medidas práticas que convém considerar. No plano administrativo, limitar o acesso ao quadro Executar através de políticas de grupo pode evitar que os utilizadores peguem e executem comandos arbitrários; se a funcionalidade App-V não for necessária num ambiente específico, a sua eliminação reduz a superfície explorável. Ao nível de detecção, a ativação do registo avançado do PowerShell (incluindo o Script Block Logging) aumenta a visibilidade de comandos e fragmentos que são executados em memória, e a monitorização de conexões salientes procurando desajustes entre o nome de host no cabeçalho HTTP ou o SNI TLS e o IP de destino ajuda a identificar comunicações suspeitas. A Microsoft mantém documentação útil sobre o App-V e as APIs envolvidas; para quem gestione ambientes Windows, revisar o guia oficial oferece um quadro técnico confiável: Documentação do App‐V, WinINet e Opções de Registo do PowerShell.
Nem tudo é configuração técnica: a educação do usuário continua sendo chave. Desconfiar páginas que simulam problemas de navegador ou verificação humana e que pedem ações incomuns - como colar um comando em Executar - é uma defesa simples e muito eficaz. As organizações deveriam combinar formação, controle de plataforma e telemetria de rede para enfrentar cadeias de ataque que dependem tanto da manipulação humana como do abuso de componentes legítimos.
A campanha descrita por BlackPoint é um lembrete de que os adversários continuam adaptando seus métodos: misturam engenharia social com artefatos assinados e técnicas como a esteganografia para reduzir sua pegada. Manter sistemas atualizados, minimizar a presença de componentes que não sejam imprescindíveis e habilitar registros e monitoramento adequados são passos práticos que aumentam muito o custo de sucesso para aqueles que desenham essas cadeias de infecção. Para mais detalhes técnicos e mitigações propostas pelos pesquisadores, revisa a análise de BlackPoint em seu blog e o relatório de Proofpoint sobre a evolução de Amatera: BlackPoint Cyber e Proofpoint.
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
RAMPART e Clarity redefinem a segurança dos agentes da IA com testes reprodutíveis e governança desde o início
A Microsoft apresentou duas ferramentas de código aberto, RAMPART e Clarity, que visam alterar a forma como a segurança dos agentes da IA é testada: uma máquina de computador e ...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...