Uma equipe de inteligência de ameaças espanholas descreveu uma campanha recente que colocou o foco em organizações ucranianas e que, por seu modus operandi, aponta atores com possíveis laços a grupos russos previamente documentados. A análise publicada por LAB52 de S2 Grupo batiza a peça maliciosa como DRILLAPP e coloca a observação inicial em fevereiro de 2026, embora rastros precoces datam do final de janeiro.
O mais marcante desta campanha é a utilização do navegador como vetor de execução e de persistência. Em vez de recorrer a executáveis tradicionais, os atacantes aproveitam os acessos aparentemente legítimos ao navegador Edge – alanzando-o em modo “headless” com parâmetros que desativam as proteções – para executar um código JavaScript ofuscado hospedado em serviços de colagem pública como Pastefy. Ao activar bandeiras como –no-sandbox, –disable-web-security ou –use-fake-ui-for-media-stream, o processo do navegador obtém permissões normalmente restritas: acesso ao sistema de arquivos, captura de câmera e microfone, e gravação de tela sem intervenção do usuário. Para entender em termos gerais o que significa executar um navegador neste modo, você pode consultar a entrada sobre headless browsers.
O primeiro vetor observado combinou acessos diretos do Windows (.LNK) com aplicativos HTML (HTA) temporários que descarregavam e executavam o programa remoto. Os atalhos foram copiados para a pasta de Início do Windows para garantir a reejecução após um reinício. Em uma iteração posterior, os operadores mudaram a tática e recorreram a módulos do Painel de Controle, mantendo no entanto a cadeia de infecção essencialmente igual. A mudança não foi apenas no transporte: a porta traseira evoluiu e começou a oferecer funções mais robustas, como enumeração recursiva de arquivos, subidas maciças e descarga arbitrária de arquivos.
Do ponto de vista técnico, os atacantes superaram limitações do próprio ambiente JavaScript recorrendo ao Chrome DevTools Protocol (CDP), um protocolo interno dos navegadores baseados em Chromium que, quando exposto pelo parâmetro de depuração remoto, permite ações que o JavaScript padrão não pode realizar por si mesmo, incluindo a descarga remota de arquivos. Esta dependência do CDP é uma pista clara sobre como a superfície dos navegadores está sendo explorada para saltar restrições de segurança concebidas precisamente para impedir este tipo de abuso.
O DRILLAPP opera como uma porta traseira ligeira que, além de manter arquivos e se comunicar com um servidor de comando e controle, incorpora capacidades de espionagem multimídia: captura de áudio, imagens da câmara e capturas de tela. Na sua primeira execução recolhe uma “huella” do dispositivo mediante técnicas como o canvas fingerprinting, e envia essa informação junto com uma identificação de país inferida a partir do fuso horário do sistema. O código contém uma lista explícita de fusos horários de interesse - incluindo a Ucrânia, o Reino Unido, a Rússia, os EUA. Os EUA e vários países europeus e asiáticos – e, se não detectarem, assumem por defeito os EUA. EUA.
Para esconder o endereço real do servidor de controle, os atacantes usam sites de colagem como intermediários (“dead drop resolvers”) que devolvem um URL de WebSocket que o malware usa para manter a comunicação. LAB52 também documenta uma variante inicial que, em vez de Pastefy, se comunicava com um domínio aparentemente genérico (“gnome[.]com”), sugerindo experimentação e desenvolvimento ativo do conjunto de ferramentas.
O uso do navegador como vetor tem razões práticas para um atacante: os navegadores são processos habituais nos sistemas, sua presença não desperta suspeita imediata e, quando são executados com determinados parâmetros, oferecem acesso direto a recursos sensíveis que em condições normais exigiriam interação e permissões explícitas. Isso converte o navegador em uma plataforma atraente para técnicas de evasão e exfiltração encoberta.
O que pode fazer uma organização para reduzir o risco desta classe de ataques? Em primeiro lugar, convém vigiar padrões anormais como instâncias de Edge ou Chrome lançadas com parâmetros de depuração remota ou sem sandbox, e controlar mudanças em pastas de início e na carga de módulos do Painel de Controle que não tenham justificação administrativa. As políticas de navegação corporativa devem restringir a execução da HTA e bloquear ou inspecionar comunicações salientes para serviços de colagem e repositórios dinâmicos usados como dead drops. A aplicação de controlos de permissões rigorosos para câmara e microfone, juntamente com soluções EDR que detectem processos de navegador que abrem sockets invulgares ou acedem atípicas ao sistema de arquivos, também ajuda a reduzir a superfície de ataque.
Para aqueles que querem aprofundar a explicação técnica e as IOCs, o relatório original da LAB52 é a referência direta sobre esta campanha: DRILLAPP — Relatório LAB52. Se a campanha estiver a utilizar cogumelos relacionados com iniciativas civis ou organizações de ajuda, é importante contrastar as ligações e páginas com as fontes oficiais, por exemplo a Fundação Come Back Alive ( savelife.in.ua) ou serviços legítimos como Starlink, para evitar cair em páginas fraudulentas.
Em termos mais amplos, o incidente lembra que as ferramentas amplamente utilizadas na infra-estrutura diária —navegadores, serviços de colagem ou funcionalidades de depuração — podem se tornar armas se não forem supervisionadas e configuráveis com critério de segurança. A ameaça é tanto técnica como social: combina engenharia social (señuelos temáticos) com abuso de capacidades legítimas do software, e nesse cruzamento reside a sua eficácia.
A recomendação final para responsáveis TI e usuários é manter uma postura proativa: atualizar e endurecer navegadores e políticas de execução, auditar processos que se iniciam no arranque, e contar com capacidades de detecção que distingam um processo de navegador ordinário de um que se comporta como um agente de coleta e exfiltração de dados. A publicação da LAB52 oferece os detalhes para os equipamentos que devam identificar indicadores concretos e ajustar controles em seus ambientes.
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
RAMPART e Clarity redefinem a segurança dos agentes da IA com testes reprodutíveis e governança desde o início
A Microsoft apresentou duas ferramentas de código aberto, RAMPART e Clarity, que visam alterar a forma como a segurança dos agentes da IA é testada: uma máquina de computador e ...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...