Um dos aspectos notáveis dessa campanha é o uso de serviços de nuvem pública para distribuir diferentes tipos de cargas. Scripts são distribuídos via GitHub, enquanto cargas binárias são hospedadas no Dropbox, o que dificulta a interrupção das operações. Outro ponto é o uso do Defendnot para desativar o Microsoft Defender, enganando o sistema ao simular a presença de outro antivírus.
Os atacantes utilizam engenharia social para distribuir arquivos compactados contendo documentos de fachada e um atalho malicioso em russo. O arquivo LNK, ao ser executado, aciona um comando PowerShell que baixa um script hospedado no GitHub, iniciando a cadeia de ataque. Esse script esconde suas ações e cria um documento falso para distrair a vítima.
Após a execução inicial, o script comunica-se com o atacante via API do Telegram, confirmando o sucesso da operação. Em seguida, um script Visual Basic altamente ofuscado é executado, permitindo que os atacantes atualizem ou substituam a funcionalidade do malware sem alterar a cadeia de ataque. O script final verifica privilégios elevados e, se necessário, solicita permissão ao usuário.
O malware desativa ferramentas administrativas do Windows e altera associações de arquivos para exibir mensagens aos usuários. O Amnesia RAT, uma das cargas finais, é capaz de roubar informações de navegadores, carteiras de criptomoedas e outros dados sensíveis, além de permitir controle remoto total do sistema infectado.
Para mitigar o abuso do Defendnot, a Microsoft recomenda ativar a Proteção contra Alterações para impedir mudanças não autorizadas nas configurações do Defender. A campanha, conhecida como Operação DupeHike, tem como alvo departamentos de recursos humanos e administrativos na Rússia, utilizando documentos falsos para enganar as vítimas.
Fonte:https://thehackernews.com/2026/01/multi-stage-phishing-campaign-targets.html
