Um novo malware baseado na linguagem de programação Lua, apelidado de LucidRook, encontra-se a ser utilizado em campanhas de phishing direcionadas a organizações não governamentais e universidades em Taiwan. A ameaça destaca-se pela sua capacidade de contornar a deteção, executando cargas secundárias de forma dinâmica e silenciosa no sistema das vítimas.
Segundo a análise partilhada pelos investigadores da Cisco Talos, as operações são atribuídas a um grupo de cibercriminosos monitorizado internamente como UAT-10362, descrito como um adversário capaz e com táticas operacionais maduras. Os ataques foram observados em outubro de 2025, recorrendo a emails falsos que continham arquivos protegidos por palavra-passe.
Táticas de infeção e a ilusão da segurança
Os especialistas identificaram duas cadeias de infeção distintas nestas campanhas. A primeira utiliza um ficheiro de atalho LNK que acaba por descarregar um software malicioso inicial, conhecido como LucidPawn. A segunda abordagem depende de um ficheiro executável que se faz passar pelo antivírus Worry-Free Business Security Services da Trend Micro.
No ataque com ficheiros LNK, os piratas informáticos utilizam documentos falsos desenhados para parecerem comunicações oficiais do governo de Taiwan, desviando assim a atenção da vítima enquanto a infeção decorre em segundo plano.
Uma vez ativo, o LucidPawn desencripta e implementa um executável legítimo que é renomeado para imitar o navegador Microsoft Edge. Em conjunto com este ficheiro, é instalada uma biblioteca maliciosa, identificada como DismCore.dll, responsável por carregar o LucidRook de forma totalmente oculta.
O poder da flexibilidade e a ferramenta LucidKnight
O grande trunfo do LucidRook reside no seu design modular e na integração de um ambiente de execução Lua. Esta estrutura permite aos atacantes recolher e executar cargas secundárias na forma de código Lua, possibilitando a atualização de funções sem que seja necessário modificar a base da ameaça original. Esta tática reduz drasticamente a visibilidade para as equipas de análise forense, um efeito que é amplificado pela ofuscação intensa presente no código.
Durante o processo de execução, o LucidRook faz o reconhecimento do sistema da vítima, recolhendo nomes de utilizadores e de computadores, aplicações instaladas e processos em curso. Toda a informação é encriptada com o algoritmo RSA, guardada em arquivos protegidos por palavra-passe e enviada para servidores controlados pelos atacantes através de ligações FTP.
Ao longo da investigação, a equipa descobriu ainda uma ferramenta paralela chamada LucidKnight, utilizada sobretudo para missões de reconhecimento. Esta variante ganha destaque por abusar do protocolo GMTP do Gmail para extrair os dados recolhidos, o que demonstra que o grupo UAT-10362 mantém um leque de ferramentas flexível para se adaptar às necessidades de cada operação. Apesar do sucesso em mapear a infraestrutura, os investigadores não conseguiram capturar o código Lua final, o que mantém em segredo as ações exatas tomadas após a infeção primária.
Nenhum comentário
Seja o primeiro!