Há apenas alguns meses que surgiu no cenário do crime informático um novo ator chamado LeakNet, e a sua evolução técnica já obriga a prestar atenção: começou a combinar uma tática de engenharia social muito eficaz com uma abordagem “living off the land” moderna que aproveita software legítimo para executar código malicioso em memória. O resultado é um vetor de entrada difícil de detectar e com poucas pegadas em disco, exatamente o que buscam os grupos de ransomware que querem maximizar impacto e minimizar rastreabilidade.
A porta de entrada que o LeakNet usa é conhecida como ClickFix, um engano orientado ao usuário que induz a executar comandos ou arquivos através de janelas ou avisos falsos que parecem resolver um problema técnico. Uma vez conseguido esse primeiro passo, os atacantes não lançam um carregador próprio com assinatura duvidosa: instalam e usam o runtime legítimo Deno - o ambiente moderno para JavaScript e TypeScript - para descodificar e executar a carga maliciosa diretamente na memória do sistema. Essa estratégia, descrita pelos pesquisadores de ReliaQuest, é um exemplo claro do que chamam uma campanha "bring your own runtime" (BYOR), onde se traz um intérprete legítimo para executar código hostil sem chamar a atenção das listas de bloqueio ou os filtros que buscam binários suspeitos. Mais informações sobre a análise técnica estão disponíveis no relatório do ReliaQuest: ReliaQuest: ClickFix, Deno e a ameaça de LeakNet.
Por que usar Deno? Porque é um executável assinado e amplamente reconhecido em ambientes de desenvolvimento, o que dificulta a detecção quando aparece em uma máquina que não está muito menos preparada para identificá-lo como malicioso. Ao usar Deno, os operadores do LeakNet podem executar JavaScript/TypeScript malicioso que realiza um fingerprint da máquina, gera um identificador único de vítima e conta com um servidor de comando e controle para baixar etapas posteriores. O código de memória mantém uma conexão de pesquisa para receber ordens, o que facilita manutenção persistente sem deixar artefatos óbvios no disco.
Na fase posterior à exploração, o LeakNet recorre a técnicas convencionais, mas eficazes: carga de DLL por sideloading (por exemplo, aproveitando o jli.dll através de Java em rotas como C:\\ProgramData\\USOShared), reconhecimento de credenciais com ferramentas do próprio sistema comoklist, movimento lateral por PsExec e exfiltração e armazenamento de dados que abusa de serviços na nuvem como Amazon S3. A Microsoft mantém documentação oficial sobre utilitários e comandos usados nestes processos; por exemplo, a ferramenta PsExec de Sysinternals pode ser consultada em página PsExec, a gestão de tickets Kerberos medianteklistestá documentada em a referência da Microsoft, e os princípios de busca e carga de DLL são descritos em documentação do Windows. Do lado da nuvem, a Amazon S3 é frequentemente usada por atacantes para armazenar e distribuir cargas; o guia oficial de S3 está em documentação da Amazon S3.
O que torna esta cadeia de ataque preocupante? Principalmente duas coisas: a combinação de engenharia social com execução em memória e o uso de ferramentas legítimas. A execução em memória reduz os vestígios forenses em disco e faz com que muitas soluções baseadas em assinaturas não disparem alertas. O uso de um runtime oficial como Deno implica que os controles que bloqueiam binários “não aprovados” podem ser ridicularizados. Além disso, quando o atacante se apoia em utilidades do sistema para se mover lateralmente ou enumerar credenciais, a atividade pode camuflar-se entre tarefas administrativas legítimas.
Os investigadores que seguiram LeakNet indicam que, por agora, o grupo teve uma atividade relativamente contida desde o final de 2024, com uma média aproximada de poucas vítimas por mês, embora a adoção desses novos métodos possa acelerar seu crescimento. A repetitividade da cadeia de ataque, no entanto, joga a favor dos defensores: os padrões consistentes deixam pontos concretos onde monitorar e detectar anomalias.
Sinais de alerta que convém vigiar incluem a execução de Deno em equipamentos onde não são realizadas tarefas de desenvolvimento, invocações estranhas que envolvem navegador e execução de comandos (que às vezes é detectado comomisexecou execuções invulgares desde processos de navegação), uso anormal de PsExec, tráfego de saída inesperado para buckets de S3 e presença de DLL carregadas desde localizações atípicas como ProgramData. Estas pistas são pistas de utilização para detecção precoce e resposta.
Do ponto de vista prático, as práticas de mitigação não são inovadoras, mas devem ser aplicadas com disciplina: limitar e monitorar o uso de ferramentas administrativas, restringir a execução de binários apenas a inventário aprovado, aplicar listas de aplicações permitidas onde possível e analisar conexões salientes a serviços na nuvem de estações de trabalho. Também é fundamental educar os funcionários para que não executem atalhos ou comandos apresentados por janelas emergentes suspeitas, porque ClickFix se alimenta precisamente dessa reação de “arreglar rápido” por parte do usuário.
A comunidade de segurança publica hoje guias e ferramentas para ajudar a detectar e mitigar este tipo de ataques. Rever indicadores e padrões relatados por pesquisadores, manter a telemetria de processos e rede, e configurar alertas sobre comportamentos anormais (por exemplo, Deno fora de ambientes de desenvolvimento ou tráfego incomum para S3) são passos concretos que podem marcar a diferença. Para quem quiser aprofundar a análise original da cadeia de ataque, o relatório do ReliaQuest oferece um bom ponto de partida: relato técnico de ReliaQuest, e para entender o runtime que os atacantes estão usando, a página oficial de Deno explica como funciona o ambiente: Deno — Site oficial.
Em suma, o LeakNet não inventou nada radicalmente novo, mas sim criou táticas atuais de forma eficiente: abuso de um runtime legítimo para execução em memória, engenharia social dirigida e movimentos pós-explotação baseados em utilitários do próprio sistema e serviços na nuvem. Essa combinação exige que as equipes de segurança não se limitem a bloquear assinaturas, mas observem comportamentos e contexto, e que as organizações mantenham medidas básicas de higiene digital e formação contínua para o pessoal. A ameaça é gerida se estes pontos forem abordados com prioridade.
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
RAMPART e Clarity redefinem a segurança dos agentes da IA com testes reprodutíveis e governança desde o início
A Microsoft apresentou duas ferramentas de código aberto, RAMPART e Clarity, que visam alterar a forma como a segurança dos agentes da IA é testada: uma máquina de computador e ...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...