Pesquisadores em cibersegurança identificaram uma campanha dirigida que aproveita a indignação e a busca de informações sobre os protestos no Irã para distribuir malware. A assinatura Acronis descreveu esta operação sob o nome de CRESCENTHARVEST, e a detectou a partir de 9 de janeiro; segundo sua análise, os atacantes pretendiam instalar um cavalo de Troia de acesso remoto (RAT) e um componente dedicado ao roubo de informações com capacidades para executar comandos remotos, registrar pulsações e extrair dados sensíveis.
O señuelo utilizado pelos operadores é pensado para convencer falantes de farsi: um arquivo RAR que aparenta conter fotos e vídeos das manifestações, acompanhado por um relatório em persa que supostamente oferece atualizações desde "cidades rebeldes". Dentro desse arquivo incluem-se acessos diretos do Windows com dupla extensão - por exemplo "imagem.jpg.lnk" ou "video.mp4.lnk" - um truque clássico para que o sistema mostre o que parece ser um arquivo multimídia, mas na verdade execute código. Ao abrir um desses atalhos, é executado um programa de PowerShell que descarrega um segundo arquivo comprimido e, para não levantar suspeitas, simultaneamente abre uma imagem ou vídeo legítimo como senhe.
O ZIP secundário contém uma combinação inquietante: um binário assinado pelo Google que faz parte da utilidade de limpeza do Chrome e várias livrarias DLL. Aproveitando o mecanismo de busca de livrarias do Windows, os atacantes fazem com que o executável legítimo carregue as DLLs maliciosas, uma técnica conhecida como "DLL sideloading". Uma dessas livrarias atua como um componente em C++ que extrai chaves de criptografia associadas a aplicativos do Chrome, enquanto outra, identificada pelos pesquisadores como a implantação CRESCENTHARVEST, implementa as funções de espionagem e controle remoto.
Entre as capacidades observadas deste implante estão a lista de soluções de segurança instaladas, a lista de contas locais, a carga de módulos adicionais, a coleta de metadados do sistema, a extração de credenciais de navegadores, a exfiltração de dados de sessões do Telegram em sua versão de desktop e um keylogger. Para se comunicar com seus servidores de comando e controle, o CRESCENTHARVEST emprega as APIs do WinHTTP do Windows e aponta para um domínio que, segundo Acronis, serve para misturar seu tráfego com comunicação legítima.
O padrão de ataque não é novidade, mas sim eficaz: explorar eventos atuais para atrair vítimas, usar acessos diretos enganosos como vetor inicial, e abusar de binários legítimos assinados para esquivar controles de segurança. Acronis salienta que, embora não tenham atribuído a operação de forma conclusiva, a campanha coincide com táticas históricas de grupos alinhados com o Irão que recorreram à engenharia social prolongada e a identidades falsas para ganhar a confiança de objetivos - uma prática documentada por agências e centros de cibersegurança como parte da atividade de ameaças persistentes. Para contextualizar o uso deste tipo de manobras, consultar o guia da Agência Canadense de Cibersegurança sobre campanhas de manipulação dirigida e spear-phishing publicada pelo Governo do Canadá.
Este achado chega pouco depois de outras análises que também documentaram tentativas de comprometer ativistas, jornalistas e organizações não governamentais relacionadas com a denúncia de abusos no Irã. Empresas de segurança externas relataram campanhas com objetivos e métodos semelhantes, o que indica que os movimentos sociais e jornalísticos em torno de um conflito real se tornam terreno fértil para operações de ciberespionagem direcionadas.
De um ponto de vista técnico, a campanha recorre a vetores bem conhecidos mas perigosos na sua combinação: a utilização de acessos diretos (LNK) para enganar o usuário; a descarga silenciosa de artefatos adicionais através do PowerShell; o uso de um binário assinado por um fornecedor legítimo para carregar livrarias maliciosas; e finalmente um componente que extrai credenciais e dados de aplicações comuns. A Microsoft oferece documentação sobre como o Windows resolve a carga de livrarias dinâmicas e porque o sideloading pode ser explorado nesses cenários, informações úteis para responsáveis por TI e equipamentos de segurança na documentação oficial da Microsoft.
Para pessoas e coletivos que cobrem ou seguem de perto os acontecimentos no Irã, o risco é duplo: por um lado, a motivação para abrir rapidamente materiais que aparentam ser relevantes é alta; por outro, os arquivos aparentemente inocentes podem esconder ferramentas de persistência e exfiltração. Ferramentas legítimas do navegador, como a utilidade de limpeza do Chrome cuja assinatura foi aproveitada nesta campanha, podem ser usadas no processo de carregamento de código malicioso; o Google explica a função desse componente em sua página de suporte sobre a ferramenta de limpeza do Chrome.
O que podem fazer aqueles que são considerados em risco? Além de manter sistemas e software atualizados, convém evitar abrir arquivos comprimidos ou links de procedência duvidosa, desconfiar de atalhos que mostrem dupla extensão e não habilitar a execução de scripts sem verificar a origem. A nível organizacional, a monitoração do tráfego saliente, o controle da execução de binários não conhecidos e a aplicação de políticas que restrinjam a carga de DLL a partir de locais não confiáveis ajudam a reduzir a superfície de ataque. Para recomendações práticas sobre como detectar e mitigar campanhas de phishing e spear-phishing, la Agência de Segurança de Infra-estruturas e Cibersegurança dos EUA. EUA. (CISA/US-CERT) Ele mantém materiais úteis e acessíveis.
O aparecimento de CRESCENTHARVEST reflete um padrão inquietante: quando há conflito e movimento social, aparecem atores dispostos a explorar a atenção e a solidariedade em benefício de operações de espionagem. Manter a guarda, verificar fontes e adotar práticas de higiene digital não é apenas uma recomendação técnica, mas uma medida de segurança pessoal e coletiva para aqueles que informam, documentam ou participam na cobertura desses acontecimentos.
Para ler a análise técnica detalhada desta campanha, Acronis publicou um relatório com a descrição do fluxo de infecção e das amostras observadas em seu blog de Threat Research Unit.
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
RAMPART e Clarity redefinem a segurança dos agentes da IA com testes reprodutíveis e governança desde o início
A Microsoft apresentou duas ferramentas de código aberto, RAMPART e Clarity, que visam alterar a forma como a segurança dos agentes da IA é testada: uma máquina de computador e ...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...