Um grupo de hackers paquistaneses, conhecido como APT36, está a conduzir uma nova campanha de ciberespionagem contra entidades governamentais e de defesa na Índia. A tática, que se destaca pela sua astúcia, recorre a ficheiros de atalho do sistema operativo Linux para instalar malware e roubar dados sensíveis. A atividade foi detetada pela primeira vez a 1 de agosto de 2025 e, segundo os especialistas, continua ativa.
O disfarce perfeito: um atalho que parece um PDF
Os ataques começam com um método já conhecido: um email de phishing. Anexado a este email, as vítimas encontram um ficheiro ZIP que contém um ficheiro .desktop malicioso, mas inteligentemente disfarçado de um documento PDF, inclusive no nome atribuído.
Os ficheiros .desktop no Linux são, na sua essência, atalhos baseados em texto que indicam ao ambiente de trabalho como uma aplicação deve ser executada. Contudo, o grupo APT36 está a manipular estes ficheiros de uma forma que lembra o abuso de atalhos 'LNK' no sistema operativo Windows.
Ao abrir o que julga ser um PDF, o utilizador aciona, sem se aperceber, um comando escondido no campo Exec= do ficheiro. Este comando descarrega a carga maliciosa (payload) de um servidor controlado pelos atacantes, que pode até estar alojado no Google Drive para parecer mais legítimo. Para não levantar suspeitas, o script abre de seguida um documento PDF inofensivo no navegador Firefox da vítima.
Um malware furtivo para espionagem
A carga maliciosa descarregada é um executável ELF baseado na linguagem de programação Go, concebido especificamente para funções de espionagem. Embora a sua análise tenha sido dificultada por técnicas de ofuscação, os investigadores descobriram que o malware é capaz de se manter oculto no sistema.
Para garantir que continua ativo mesmo após o sistema ser reiniciado, o malware estabelece a sua própria persistência através de tarefas agendadas (cron jobs) e serviços do systemd. A comunicação com o servidor de comando e controlo (C2) é realizada através de um canal WebSocket bidirecional, permitindo aos atacantes não só roubar dados, mas também executar comandos remotamente na máquina infetada.
Uma tática em evolução
Segundo as empresas de cibersegurança CYFIRMA e CloudSEK, que documentaram esta campanha, este método de ataque demonstra uma clara evolução nas táticas do APT36.
O abuso de ficheiros .desktop é particularmente eficaz porque, sendo ficheiros de texto, muitas ferramentas de segurança em Linux não os monitorizam como potenciais ameaças. Os atacantes adicionaram ainda parâmetros como Terminal=false para ocultar a execução de comandos e X-GNOME-Autostart-enabled=true para assegurar que o malware é executado a cada início de sessão do utilizador, tornando a sua ação ainda mais furtiva e sofisticada.
Nenhum comentário
Seja o primeiro!