Pesquisadores de cibersegurança identificaram uma campanha de malware que usa a blockchain TON, software legítimo e componentes confiáveis do Windows para construir uma infraestrutura de comando-e-controle resiliente, capaz de contornar medidas de segurança convencionais. Os atacantes combinam tecnologia de blockchain com aplicativos amplamente utilizados para dificultar a detecção do malware e atrapalhar esforços tradicionais de remoção. A campanha reflete uma tendência crescente em que criminosos cibernéticos exploram tecnologias descentralizadas e ecossistemas de software legítimo para criar uma infraestrutura de malware altamente resiliente, capaz de resistir ao bloqueio de domínios e às defesas tradicionais de segurança.
O ataque começa com e-mails de phishing disfarçados como comunicações relacionadas a reservas. Os destinatários são direcionados a um link do Google Share que os redireciona para um site malicioso, onde são solicitados a baixar um arquivo ZIP diretamente ou por meio de uma interface estilo ClickFix. O arquivo baixado contém um arquivo de atalho do Windows (LNK) malicioso, disfarçado como uma imagem ao usar um ícone da biblioteca shell32.dll do Windows.
Quando o arquivo de atalho é aberto, ele executa silenciosamente um comando do PowerShell ofuscado. Em vez de armazenar o domínio de download em texto simples, os atacantes codificam o endereço como dois grandes valores numéricos. O script do PowerShell embutido reconstrói o domínio malicioso realizando operações aritméticas e bit a bit, tornando a infraestrutura mais difícil de ser identificada por ferramentas de segurança durante a análise estática.
A carga útil do PowerShell então verifica se o runtime Node.js já está instalado no dispositivo-alvo. Se não estiver presente, o malware baixa a versão legítima do Node.js para Windows a partir da infraestrutura oficial de distribuição do projeto e a extrai no diretório LocalAppData do usuário. Ao depender de componentes de software autênticos em vez de executáveis maliciosos apenas, os atacantes buscam mesclar sua atividade com o comportamento de aplicações legítimas e reduzir a probabilidade de detecção.
Depois de instalar ou localizar o Node.js, o malware descriptografa uma carga útil em JavaScript protegida com criptografia AES-128-CBC e codificação Base64. O código descriptografado é executado por meio do runtime legítimo do Node.js, com a configuração de comando-e-controle fornecida como argumento de execução.
Pesquisadores relataram que o implante em JavaScript estava fortemente ofuscado e executado por meio de um interpretador de máquina virtual personalizado, em vez de JavaScript padrão. Essa técnica aumenta significativamente a complexidade da análise do malware ao impedir que ferramentas tradicionais de segurança baseadas em assinatura identifiquem facilmente o código malicioso.
O ataque usa a blockchain TON como uma infraestrutura resiliente de comando-e-controle, permitindo que os atacantes atualizem instruções maliciosas sem modificar ou redistribuir malware já instalado em sistemas comprometidos. Pesquisadores identificaram vários domínios históricos de comando-e-controle associados à campanha. No entanto, o malware não depende exclusivamente de domínios fixos para instruções. Em vez disso, os operadores podem modificar dados de configuração hospedados em blockchain sempre que a infraestrutura for bloqueada, permitindo que sistemas infectados obtenham informações atualizadas de comando-e-controle sem exigir que o próprio malware seja substituído.
O malware é capaz de baixar executáveis do Windows, scripts do PowerShell e cargas úteis adicionais em JavaScript. Antes de executar programas do Windows baixados, ele verifica o cabeçalho do arquivo Portable Executable (PE), salva o arquivo com um nome gerado aleatoriamente no diretório temporário e pode tentar adicionar o caminho do arquivo à lista de exclusões do Microsoft Defender para reduzir as chances de detecção durante a execução.
Pesquisadores aconselharam as organizações a permanecerem vigilantes contra campanhas de phishing usando temas relacionados a viagens e reservas, especialmente e-mails contendo links do Google Share que redirecionam usuários para downloads suspeitos. Também recomendaram monitorar arquivos ZIP que contenham arquivos de atalho LNK disfarçados como imagens, além de atividade inesperada do PowerShell e instalações não autorizadas do Node.js em sistemas corporativos.
Para que a blockchain TON é usada nesta campanha de malware?
A blockchain TON é usada como uma infraestrutura resiliente de comando-e-controle que permite que atacantes atualizem instruções maliciosas sem modificar ou redistribuir malware já instalado em sistemas comprometidos. Os operadores podem modificar dados de configuração hospedados em blockchain sempre que a infraestrutura for bloqueada, permitindo que sistemas infectados recuperem informações atualizadas de comando-e-controle.
Como o malware se disfarça como software legítimo?
O malware baixa a versão legítima do Node.js para Windows a partir da infraestrutura oficial de distribuição do projeto e executa cargas úteis em JavaScript criptografadas por meio do runtime autêntico do Node.js. Ao depender de componentes de software confiáveis e utilitários do Windows, os atacantes mesclam sua atividade com o comportamento de aplicações legítimas para reduzir a probabilidade de detecção por ferramentas de segurança.
Notícias relacionadas
NEC Partners se une à Ava Labs na plataforma de Blockchain Facial ID para visitantes do Japão
Universidade de Tel Aviv descobre ataque HalluSquatting, onde alucinações de IA podem ser exploradas para montar redes zumbi
Oceanus Chain lança ecossistema DeFi e IA com pré-venda do token OCS
Empresas de cripto desenvolvem planos resistentes à quântica enquanto Google alerta para ameaça em 2029
Contratos inteligentes do Ethereum alimentam campanha de skimming Magecart