Um dos aspectos marcantes dessa campanha é o uso de serviços de nuvem pública para distribuir diferentes tipos de cargas. Scripts são distribuídos via GitHub, enquanto cargas binárias são hospedadas no Dropbox, dificultando a remoção dos conteúdos maliciosos. Além disso, a campanha utiliza a ferramenta defendnot para desativar o Microsoft Defender, fazendo com que o sistema acredite que outro antivírus já está instalado.
Os atacantes empregam engenharia social para distribuir arquivos compactados contendo documentos de isca e um atalho malicioso do Windows (LNK) com nomes em russo. Esse arquivo LNK, ao ser executado, aciona um comando PowerShell que busca um script hospedado em um repositório do GitHub, servindo como carregador inicial para estabelecer uma base e ocultar atividades maliciosas.
Após a execução bem-sucedida do primeiro estágio, o script envia uma mensagem ao atacante via Telegram, informando sobre o progresso. Um script Visual Basic altamente ofuscado é então executado, montando a próxima carga diretamente na memória, evitando deixar rastros no disco.
O script final verifica se possui privilégios elevados e, caso contrário, exibe repetidamente um prompt de Controle de Conta de Usuário (UAC) para obter as permissões necessárias. Em seguida, o malware realiza uma série de ações para suprimir a visibilidade, neutralizar mecanismos de proteção, conduzir reconhecimento e, finalmente, implantar as cargas principais.
Entre as cargas finais, está o Amnesia RAT, capaz de roubar dados de navegadores, carteiras de criptomoedas, Discord, Steam e Telegram, além de metadados do sistema, capturas de tela, imagens de webcam, áudio do microfone, área de transferência e título de janelas ativas. A exfiltração é realizada principalmente via HTTPS usando APIs do Telegram Bot.
O segundo payload é um ransomware derivado da família Hakuna Matata, configurado para criptografar documentos, imagens e outros arquivos no sistema infectado. Além disso, o ransomware monitora o conteúdo da área de transferência e altera silenciosamente endereços de carteiras de criptomoedas para redirecionar transações.
Para mitigar o abuso do defendnot, a Microsoft recomenda que os usuários ativem a Proteção contra Alterações para evitar mudanças não autorizadas nas configurações do Defender e monitorem chamadas de API suspeitas ou alterações no serviço do Defender.
Fonte:https://thehackernews.com/2026/01/multi-stage-phishing-campaign-targets.html
