A Equipe de Resposta a Emergências de Computadores da Ucrânia (**CERT-UA**) identificou uma nova família de malware, 'AgingFly', ativamente usada em ataques contra governos e hospitais locais na Ucrânia. O principal objetivo do malware é roubar dados de autenticação de navegadores baseados em Chromium e do mensageiro WhatsApp. Esses ataques, avistados no mês passado, acredita-se que possam ter como alvo representantes das Forças de Defesa, de acordo com evidências forenses. O CERT-UA atribui esses ataques a um cluster de ameaças cibernéticas rastreado como UAC-0247. ### Cadeia de Ataque A cadeia de ataque começa com um e-mail de phishing disfarçado de oferta de ajuda humanitária. As vítimas são atraídas a clicar em um link incorporado. Este link redireciona para um site legítimo comprometido via uma vulnerabilidade de cross-site scripting (XSS) ou um site falso gerado usando uma ferramenta de IA. O alvo então recebe um arquivo compactado contendo um atalho (LNK) que inicia um manipulador HTA integrado. Este manipulador se conecta a um recurso remoto para recuperar e executar um arquivo HTA. O arquivo HTA exibe um formulário de isca para distrair o usuário enquanto uma tarefa agendada é criada. Essa tarefa baixa e executa um payload EXE que injeta shellcode em um processo legítimo. Em seguida, os atacantes implantam um loader de dois estágios, com o segundo estágio utilizando um formato executável personalizado. O payload final é comprimido e criptografado. "Um TCP reverse shell típico ou um análogo classificado como RAVENSHELL pode ser usado como stagers, o que permite o estabelecimento de uma conexão TCP com o servidor de gerenciamento", declarou o CERT-UA em seu relatório. Uma conexão TCP, criptografada usando o cipher XOR, é estabelecida com o servidor de Comando e Controle (C2), permitindo a execução de comandos via Prompt de Comando do Windows. Subsequentemente, o malware AgingFly é entregue e implantado. Um script **PowerShell** (SILENTLOOP) é usado para executar comandos, atualizar configurações e recuperar o endereço do servidor C2 de um canal do **Telegram** ou mecanismos de fallback.  Após investigar múltiplos incidentes, pesquisadores descobriram que os atacantes estão roubando dados do navegador usando **ChromElevator**, uma ferramenta de segurança de código aberto. O ChromElevator descriptografa e extrai informações sensíveis, como cookies e senhas salvas, de navegadores baseados em Chromium (por exemplo, **Google Chrome**, **Microsoft Edge**, **Brave**) sem exigir privilégios de administrador. O ator de ameaça também tenta extrair dados sensíveis do aplicativo WhatsApp para Windows, descriptografando bancos de dados usando a ferramenta forense de código aberto ZAPiDESK. Pesquisadores observaram atividades de reconhecimento e movimento lateral dentro da rede, utilizando utilitários publicamente disponíveis como o scanner de portas RustScan e as ferramentas de tunelamento Ligolo-ng e Chisel. ### Características Únicas do AgingFly O AgingFly, escrito em **C#**, concede aos operadores controle remoto, execução de comandos, exfiltração de arquivos, captura de tela, keylogging e capacidades de execução de código arbitrário. Ele se comunica com seu servidor C2 via WebSockets e criptografa o tráfego usando AES-CBC com uma chave estática. Notavelmente, o AgingFly não inclui manipuladores de comando pré-construídos. Em vez disso, ele os compila no host a partir do código-fonte recebido do servidor C2. “Uma característica distintiva do AGINGFLY em comparação com malwares semelhantes é a ausência de manipuladores de comando embutidos em seu código. Em vez disso, eles são recuperados do servidor C2 como código-fonte e compilados dinamicamente em tempo de execução”, explica o CERT-UA. Essa abordagem oferece um payload inicial menor, mudanças de capacidade sob demanda e potencial evasão de detecção estática. No entanto, aumenta a complexidade, depende da conectividade C2 e expande a pegada de tempo de execução, potencialmente aumentando o risco de detecção. O CERT-UA aconselha os usuários a bloquear a execução de arquivos LNK, HTA e JS para interromper a cadeia de ataque usada nesta campanha.