1. TugaTech » Software » Noticias de Software
  Login     Registar    |                      
Siga-nos

malware em código fonte

 

Um grupo de ciberespionagem associado ao estado russo, conhecido como APT28, está a utilizar a popular aplicação de mensagens Signal para lançar ataques direcionados contra entidades governamentais na Ucrânia. A campanha recorre a duas novas famílias de malware, até agora desconhecidas, batizadas de BeardShell e SlimAgent.

 

É crucial sublinhar que esta não é uma falha de segurança na aplicação Signal. Pelo contrário, os atacantes estão a aproveitar a crescente popularidade e confiança na plataforma, especialmente em meios governamentais, para a usar como um veículo para os seus ataques de phishing.

 

A descoberta e o vetor de ataque

 

Os primeiros indícios da atividade surgiram em março de 2024, mas foi só em maio de 2025 que a totalidade da operação foi desvendada. Após um alerta da empresa de cibersegurança ESET sobre um acesso não autorizado a uma conta de email governamental ucraniana, uma nova investigação foi iniciada.

A investigação revelou que os atacantes enviavam mensagens através do Signal contendo um documento malicioso (Акт.doc). Ao ser aberto, este documento utiliza macros para executar um backdoor residente na memória, chamado Covenant. Este primeiro malware atua como um carregador, descarregando os componentes seguintes do ataque.

 

A descoberta inicial e a análise detalhada foram publicadas pela Equipa de Resposta a Emergências Informáticas da Ucrânia (CERT-UA), que monitoriza este grupo sob o código UAC-0001.

 

BeardShell e SlimAgent: as novas armas digitais

 

Uma vez ativo, o Covenant descarrega uma DLL e um ficheiro de áudio .wav modificado que, na verdade, contém código malicioso. Este código é responsável por instalar o BeardShell, um malware desenvolvido em C++ nunca antes documentado. Para garantir que o malware sobrevive a um reiniciar do sistema, os atacantes utilizam uma técnica de persistência conhecida como "COM Hijacking" no registo do Windows.

 

A principal função do BeardShell é descarregar e executar scripts PowerShell, que lhe permitem tomar controlo do sistema infetado. A comunicação com o servidor de comando e controlo (C2) é habilmente disfarçada através da API do serviço de armazenamento na nuvem Icedrive.

 

Nas investigações relativas aos ataques de 2024, o CERT-UA identificou também outro componente, o SlimAgent. Este malware foca-se em capturar imagens do ecrã do utilizador, encriptando-as com algoritmos AES e RSA antes de as armazenar localmente, aguardando para serem exfiltradas para os servidores do APT28.

 

Um longo historial de espionagem e controvérsia

 

O APT28 é um dos grupos de ameaças mais avançados da Rússia, com um longo historial de ataques focados em ciberespionagem contra a Ucrânia, os Estados Unidos e várias nações europeias. Em novembro de 2024, o grupo foi notícia por utilizar uma técnica inovadora que lhes permitia atacar redes explorando a proximidade de redes Wi-Fi vulneráveis.

 

 

A utilização do Signal em ataques tornou-se mais proeminente durante 2025, com a plataforma a ser abusada para roubo de contas e distribuição de outro malware, como o Dark Crystal RAT.

 

Esta situação gerou um ponto de discórdia entre o governo ucraniano e a gestão do Signal. As autoridades ucranianas expressaram frustração pela aparente falta de cooperação da plataforma em bloquear as operações russas. Em resposta, Meredith Whittaker, presidente do Signal, afirmou que a plataforma nunca partilhou dados de comunicação com qualquer governo, mantendo a sua política de privacidade estrita.




Aplicações do TugaTechAplicações TugaTechDiscord do TugaTechDiscord do TugaTechRSS TugaTechRSS do TugaTechSpeedtest TugaTechSpeedtest TugatechHost TugaTechHost TugaTech