Os investigadores de segurança detectaram uma nova variante de um malware conhecido como LOTUSLITE, que agora é distribuído através de um señuelo orientado para o setor bancário da Índia. De acordo com a análise publicada por especialistas do Acronis, a amostra emprega um arquivo Compiled HTML (CHM) como ponto de entrada e aproveita técnicas de carga lateral do DLL para executar um componente malicioso que estabelece comunicação criptografada com um servidor de comando e controle baseado em DNS dinâmico. Em poucas palavras: não se trata de um troiano bancário clássico, mas de uma ferramenta pensada para espionagem e exfiltração. Você pode consultar o trabalho dos pesquisadores na seção de pesquisas de Acronis para mais detalhes: Acronis Research.
O modus operandi começa com um CHM que aparenta conter documentação legítima relacionada com uma entidade financeira. Dentro do arquivo estão empacotados um executável válido e um DLL manipulado. A página HTML incorporada mostra uma janela que induz o usuário a carregar em "Sim"; esse gesto aparentemente inocuo dispara uma cadeia de downloads que recupera um script JavaScript de um servidor remoto identificado pelos analistas e que se encarrega de extrair e executar o malware incluído no CHM. Esta combinação —arquivo CHM malicioso, engenharia social e carga lateral de DLL — é uma receita conhecida, mas efetiva quando as vítimas não desconfiam do conteúdo aparentemente legítimo. Para entender melhor o que são os CHM e por que constituem um vetor atraente, há material explicativo na documentação pública sobre o Compiled HTML Help: Compiled HTML Help (Wikipedia).
O DLL nesta campanha, identificada pelos pesquisadores como "dnx.onecore.dll", é uma versão evoluida de LOTUSLITE. O HTTPS é notificado com um servidor de controlo que utiliza o DNS dinâmico para esconder a sua infra-estrutura (os domínios apontados por Acronis incluem exemplos utilizados durante a operação). O backdoor oferece capacidades que vão além de simples comandos remotos: permite shell remoto, operações com arquivos e gestão de sessões, o que aponta para objetivos de coleta de informações sustentadas no tempo mais do que fraudes diretas. O uso de canais HTTPS para o tráfego de comando e controle é uma técnica habitual para camuflar a telemetria maliciosa sob tráfego criptografado; a classificação técnica dessas táticas está coletada em repositórios como MITRE ATT&CK ( T1071 — Application Layer Protocol).
Os antecedentes do ator atrás de LOTUSLITE sugerem uma autoria atribuída com um nível de confiança médio a um grupo associado à China, conhecido na comunidade de cibersegurança como Mustang Panda. Este conjunto de atores já havia sido ligado a campanhas direcionadas contra entidades governamentais e de política externa, usando señuelos relacionados com tensões geopolíticas. Nesta ocasião, a novidade é o giro geográfico e sectorial: a campanha mantém grande parte do seu "playbook" operacional, mas orienta os seus esforços principalmente para o setor bancário indiano, inclusive empregando referências a instituições como o HDFC Bank para aumentar a credibilidade dos iscos. Para um panorama geral sobre este ator e seu histórico, a entrada pública sobre Mustang Panda oferece contexto adicional: Mustang Panda.
Além da focalização na Índia, os analistas encontraram indícios de peças e cebos semelhantes dirigidos à Coreia do Sul, em particular a pessoal relacionado com a política e a diplomacia sobre a península coreana. De acordo com os pesquisadores, os atacantes também tentaram suplantar figuras relevantes nesse âmbito, enviando señuelos através de contas do Gmail falsificadas e armazenando material no Google Drive para parecer legítimo e facilitar a entrega. Este tipo de combinações —engenharia social avançada, suplantação e aproveitamento de plataformas de confiança — aumenta a probabilidade de um destinatário baixar ou executar conteúdo malicioso.
Um aspecto marcante do relatório é que os autores continuam investindo na melhora do malware: a nova variante mostra "melhoras incrementais" em relação a versões anteriores, o que evidencia manutenção ativa. Isto não é anecdótico: quando um operador corrige erros, adiciona capacidades ou refina a sua infra-estrutura de C2, a sua campanha torna-se mais perigosa e difícil de detectar. Para administradores e responsáveis pela segurança, reconhecer que a ameaça evolui é tão importante quanto detectar a campanha atual.
Que medidas práticas devem dar prioridade a este tipo de ameaças? A primeira barreira é a prudência do usuário em anexos e links inesperados: os CHM não são um tipo de arquivo que deve ser normalmente enviado por e-mail, e qualquer janela que solicite permissão para executar algo deve ativar alertas. No plano técnico, as organizações devem controlar a execução de binários a partir de locais não confiáveis, aplicar políticas que restrinjam a carga lateral de DLL e monitorar saídas cifradas a domínios e serviços pouco comuns. É também essencial aplicar a segmentação de redes e o princípio de menor privilégio para limitar o alcance de qualquer componente que possa ser executado. Microsoft e outros fornecedores documentaram técnicas de "DLL search order hijacking" e mitigações que ajudam a entender essa classe de risco: DLL search order hijacking (Wikipedia).
Finalmente, a detecção precoce depende tanto de soluções de endpoint com capacidade para identificar comportamentos suspeitos como de boa higiene no e-mail (filtrado de suplantações e proteção contra o phishing), a segmentação de ambientes de armazenamento na nuvem e a revisão contínua de indicadores de compromisso. Publicações especializadas e avisos das equipas de resposta a incidentes oferecem guias de detecção e remediação que convém rever periodicamente. Manter-se informado com fontes fiáveis e partilhar observáveis com a comunidade ajuda a reduzir a janela de exposição em campanhas de natureza estatal e bem financiadas.
Em suma, o aparecimento de uma versão atualizada da LOTUSLITE centrada no sector bancário indiano e com derivações para a Coreia do Sul sublinha três realities: os intervenientes persistentes mantêm e aperfeiçoam as suas ferramentas; a engenharia social continua a ser a principal alavanca para abrir portas; e a defesa requer combinar formação de usuários, controles técnicos e vigilância constante. Para aqueles que gerem segurança em organizações com interesses na região ou em âmbitos diplomáticos, a recomendação é rever as configurações de bloqueio de tipos de arquivos (como CHM), reforçar as políticas de execução do DLL e escalar qualquer tráfego saliente incomum para centros de análise para sua correlação.
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
RAMPART e Clarity redefinem a segurança dos agentes da IA com testes reprodutíveis e governança desde o início
A Microsoft apresentou duas ferramentas de código aberto, RAMPART e Clarity, que visam alterar a forma como a segurança dos agentes da IA é testada: uma máquina de computador e ...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...