Pesquisadores de segurança identificaram uma nova técnica usada pelo grupo LeakNet para invadir redes corporativas. O grupo instala o Deno, um ambiente de execução legítimo para JavaScript, e o usa para rodar código malicioso diretamente na memória do sistema.
A operação deixa rastros mínimos e engana ferramentas de segurança tradicionais.
O que é o LeakNet
O LeakNet é um grupo criminoso especializado em ransomware. Ransomware é um tipo de malware que sequestra os dados da vítima, criptografa tudo e exige pagamento para devolver o acesso. O grupo está ativo desde o final de 2024 e registra uma média de três vítimas por mês. A adoção das novas técnicas pode expandir essa operação.
Como o ataque começa
A porta de entrada é uma método chamado ClickFix. Ela funciona como engenharia social, ou seja, manipula o comportamento humano em vez de explorar falhas técnicas.
A vítima encontra uma tela falsa que simula um erro ou uma atualização necessária. Ela é instruída a copiar e colar um comando no terminal do próprio computador. Ao fazer isso, a vítima executa o ataque com as próprias mãos. Outros grupos como Termite e Interlock já usavam essa mesma técnica.
A sacada do Deno
Depois que a vítima executa o comando, dois scripts são acionados no computador. Um deles é escrito em PowerShell, uma linguagem de automação nativa do Windows.
O outro é escrito em VBScript, uma linguagem de script mais antiga, também nativa do sistema. Os pesquisadores notaram que os arquivos foram nomeados Romeo e Juliet, com extensões .ps1 e .vbs respectivamente.
Esses scripts instalam o Deno na máquina da vítima. O Deno é um ambiente de execução legítimo e de código aberto para as linguagens JavaScript e TypeScript.
Ele é assinado digitalmente, o que faz com que o sistema operacional e os antivírus o reconheçam como confiável. Os atacantes usam essa confiança a seu favor.
Em vez de criar um malware personalizado, que seria detectado com mais facilidade, os atacantes trazem uma ferramenta legítima e a usam para executar código malicioso. A empresa de segurança ReliaQuest batizou essa estratégia de BYOR, sigla para “Bring Your Own Runtime”, que significa “traga seu próprio ambiente de execução”.
Execução na memória e sem rastros
O código malicioso é executado diretamente na memória do sistema. Ele nunca é salvo como um arquivo no disco rígido. Isso é o que os pesquisadores chamam de execução in-memory. A maioria dos antivírus e ferramentas forenses analisa arquivos armazenados no disco.
Se o malware nunca chega ao disco, ele deixa pouquíssimos rastros. A atividade aparece como uma tarefa comum de desenvolvimento, o que reduz as chances de detecção.
O que acontece após a execução
Assim que o código começa a rodar, ele coleta informações sobre o computador da vítima. Esse processo se chama fingerprinting do host. Com base nesses dados, o malware gera um identificador único para aquela máquina.
Em seguida, o malware se conecta ao servidor de Comando e Controle, chamado C2. Esse servidor é controlado pelos atacantes e funciona como uma central de operações.
O malware entra em um ciclo constante de consulta ao C2, aguardando novas instruções. Ao mesmo tempo, ele busca o payload de segundo estágio, que é o componente mais destrutivo do ataque.
Como os atacantes se aprofundam na rede
Com acesso estabelecido, os atacantes ampliam o controle sobre a rede da vítima. Uma das técnicas usadas é o DLL sideloading. DLLs são arquivos do Windows que contêm código compartilhado entre programas.
Os atacantes inserem uma DLL maliciosa em um local onde um programa legítimo, no caso o Java, vai carregá-la sem perceber. O arquivo em questão se chama jli.dll e aparece em um diretório chamado USOShared dentro de ProgramData.
Os atacantes também usam uma ferramenta chamada klist para mapear credenciais de acesso dentro da rede corporativa. Com essas credenciais em mãos, eles se movem de computador em computador usando o PsExec, uma ferramenta legítima da Microsoft que executa processos remotamente.
Antes de ativar o ransomware, os atacantes roubam uma cópia de todos os dados da vítima. Para isso, usam buckets do Amazon S3, que são espaços de armazenamento em nuvem da AWS. O tráfego para servidores da Amazon é comum em redes corporativas, o que ajuda essa etapa a passar despercebida.
O que as empresas podem observar
Apesar da sofisticação, a cadeia de ataque segue uma sequência previsível. Isso abre oportunidades de detecção para equipes de segurança.
Alguns sinais de alerta incluem:
- O Deno sendo executado fora de ambientes de desenvolvimento;
- Uso suspeito do msiexec acionado a partir de navegadores;
- PsExec funcionando de forma anormal;
- Tráfego de saída inesperado para o Amazon S3;
- E DLL sideloading acontecendo em diretórios incomuns.
Acompanhe o TecMundo nas redes sociais. Para mais notícias de segurança e tecnologia, inscreva-se em nossa newsletter e canal do YouTube.