Nos últimos meses, vimos como certas bandas de ransomware evoluem de táticas conhecidas para métodos mais sutis e orientados para a engenharia social. Um dos exemplos mais marcantes vem da LeakNet, uma operação que apareceu no final de 2024 e que hoje está mudando sua forma de acessar redes: em vez de depender tanto de contas roubadas compradas no mercado negro, apoia-se em truques que induzem a vítima a executar comandos por sua própria mão.
O mecanismo estrela que implementou LeakNet é conhecido como ClickFix. Em essência, os atacantes comprometem sites legítimos e os usam para mostrar falsos controles - por exemplo, verificações tipo CAPTCHA - que persuadem o usuário a copiar e colar um comando no quadro Executar do Windows. Esse comando costuma invocar msiexec.exe para lançar um instalador aparentemente inocuo, mas que, na verdade, desencadeia uma cadeia de carga de malware. A atração do truque é dupla: a confiança é explorada em páginas legítimas e é evitada grande parte dos sinais de rede que detectariam tráfego de infraestruturas maliciosas próprias. ReliaQuest documenta essa mudança e sua análise é uma leitura recomendada para quem quiser aprofundar a técnica ( Relatório do ReliaQuest).
Outra peça chave do puzzle tecnológico é a inclusão de um carregador (loader) baseado em Deno, o moderno runtime para JavaScript e TypeScript. Em vez de deixar arquivos visíveis em disco, este loader executa código codificado em Base64 diretamente em memória, contacta com servidores externos para baixar etapas posteriores e entra em um ciclo de pesquisa que permite trazer novas instruções sem deixar demasiada evidência persistente. Para entender Deno e por que os atacantes o usam como um "runtime próprio", o site oficial oferece documentação e detalhes técnicos ( deno.land).
Esta abordagem corresponde a uma estratégia mais ampla: ao prescindir de intermediários que vendam acessos iniciais, LeakNet reduz custos por vítima e agudiza sua capacidade de escala. Além disso, porque a entrega é realizada a partir de sites confiáveis, mas comprometidos, as defesas que se apoiam na reputação de domínios ou em padrões de rede tradicionais têm menos margem para identificar a intrusão a tempo. WatchGuard e outros rastreadores já têm registros sobre LeakNet desde sua aparição em novembro de 2024 ( perfil no WatchGuard).
Quando o ator consegue executar seu código, a cadeia de pós-explotação que descreve ReliaQuest tende a se repetir: o loader inicia um DLL maliciosa por técnicas de DLL side-loading, são utilizadas ferramentas legítimas como PsExec para mover-se lateralmente pela rede, buscam credenciais e tickets ativos com comandos como klist Para acelerar o acesso a serviços existentes, e, finalmente, os dados são filtrados e os sistemas são criptografados. A Microsoft fornece informações sobre PsExec e seu uso legítimo que pode ajudar a contextualizar por que esta ferramenta é atraente para os atacantes ( Documentação do PsExec) e a própria Microsoft documenta o comando klist usado para inspeccionar credenciais ( klist na documentação da Microsoft).
O exfiltrado também recebe uma atenção particular: em vez de usar canais claramente maliciosos, LeakNet foi observado usando buckets de S3 para armazenar dados roubados, aproveitando que o tráfego para serviços na nuvem costuma parecer legítimo e assim passar despercebido. As melhores práticas de registro e monitoramento na Amazon S3 são, portanto, um fator defensivo importante ( Guia Amazon S3).
Nem todas as intrusões das que falam os centros de inteligência seguem exatamente o mesmo roteiro do ClickFix: ReliaQuest também registrou tentativas em que os atacantes usaram phishing via Microsoft Teams para enganar funcionários e conseguir que executassem uma cadeia de cargas que terminava, de novo, em um loader baseado em Deno. Essa variedade sugere duas possibilidades: ou LeakNet ampliou deliberadamente seu repertório de vetores de entrada, ou a técnica BYOR – “bring your own runtime”, trazer seu próprio runtime – está sendo adotada por outros grupos. Independentemente da autoria, o resultado empata com observações mais gerais do panorama do ransomware: segundo o Google Threat Intelligence Group, as explorações de vulnerabilidades em VPNs e firewalls continuam sendo uma causa frequente de acesso inicial, e o roubo de dados em incidentes de ransomware está aumentando ( Relatório do Google).
Para aqueles que defendem redes, a boa notícia é que este conjunto de táticas não é completamente indetectável: a operação de LeakNet exibe uma sequência pós-compromissiva relativamente constante, o que abre janelas concretas para detecção e resposta antes da cifra em massa. Monitorar processos incomuns que lancem msiexec.exe a partir de contextos web, identificar instâncias de Deno executando-se de forma suspeita, monitorar movimentos laterais com PsExec e buscar acessos ou aumentos anómalas a buckets S3 são medidas que podem marcar a diferença. Além disso, a educação do usuário — para que não pegue comandos que lhe indicam páginas web mesmo que pareçam verificados — continua sendo uma linha de defesa crítica.
Em um plano mais amplo, o ecossistema do ransomware mostra tensões contrapostas: por um lado, a resiliência das operações e sua adaptação contínua; por outro, sinais de que a rentabilidade agregada do negócio do resgate poderia estar diminuindo, o que empurra alguns atores para mudar de branco ou táticas para maximizar volume ou eficiência. Análises recentes de mercado e resposta a incidentes debatem estas dinâmicas e seus efeitos sobre as tendências de extorsão ( Análise de Coveware).
Se houver uma conclusão prática, as defesas precisam se adaptar à mistura de engenharia social sofisticada e ferramentas legítimas reutilizadas para fins hostis. A mudança de LeakNet para ClickFix e a execução em memória com Deno é um lembrete de que a segurança é tanto técnica como humana: fortalecer configurações, aplicar adesivos em infra-estruturas expostas, segmentar redes, auditar e alertar sobre comportamentos anormais em runtimes e serviços na nuvem, e manter as pessoas informadas sobre táticas de engano deve ser uma prioridade. Para aqueles que querem indagar em mais detalhes técnicos e em provas de ataques, os relatórios de ReliaQuest e Dragos oferecem mapas e exemplos que ajudam a compreender a ameaça em profundidade ( Análise de Dragos).
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Mini Shai-Hulud: o ataque que transformou as dependências em vetores de intrusão maciça
Resumo do incidente: O GitHub investiga acesso não autorizado a repositórios internos depois de o ator conhecido como TeamPCP ter colocado a venda em um fórum criminoso o supost...
Alerta de segurança: CVE-2026-45829 expõe ChromaDB a execução remota de código sem autenticação
Uma falha crítica na API Python de ChromaDB - a popular base de vetores usada para recuperação durante a inferência de LLM - permite a atacantes não autenticados executar código...
Trapdoor: a operação de malvertising que transformou apps Android em uma fábrica automática de receitas ilegais
Pesquisadores de cibersegurança descobriram uma operação de malvertising e fraude publicitária móvel batizada como Trapdoor, que converte instalações legítimas de aplicações And...
Alerta de segurança: vulnerabilidades críticas no SEPPMail podem permitir ler e-mails e executar código remoto
Pesquisadores de segurança detectaram uma cadeia de erros críticos no SEPPMail Secure E-Mail Gateway que, em conjunto, permitem desde a leitura de e-mails alheios à execução rem...
Nx Console em jaque: como uma extensão de produtividade se tornou um roubo de credenciais e uma ameaça para a cadeia de abastecimento
Um ataque dirigido a desenvolvedores voltou a evidenciar a fragilidade da cadeia de fornecimento do software: a extensão Nx Console para editores como Visual Studio Code, com ma...