## UAC-0247 mira entidades ucranianas com malware ladrão de dados A **Computer Emergencies Response Team of Ukraine (CERT-UA)** divulgou uma nova campanha visando instituições governamentais e de saúde municipais ucranianas, incluindo clínicas e hospitais de emergência. Os ataques entregam malware projetado para roubar dados sensíveis de navegadores web baseados em Chromium e do **WhatsApp**. ### Detalhes da Campanha A atividade maliciosa, observada entre março e abril de 2026, foi atribuída a um cluster de ameaças denominado **UAC-0247**. As origens desta campanha são atualmente desconhecidas. De acordo com a **CERT-UA**, o ataque começa com um e-mail alegando oferecer ajuda humanitária. Os destinatários são instados a clicar em um link que redireciona para um site legítimo comprometido via vulnerabilidade de cross-site scripting (XSS) ou um site falso criado usando ferramentas de inteligência artificial (IA). Independentemente do site, o objetivo é baixar e executar um arquivo Windows Shortcut (LNK). Este arquivo então executa um Remote HTML Application (HTA) usando o utilitário nativo do Windows, `mshta.exe`. O arquivo HTA exibe um formulário de isca para distrair a vítima enquanto busca um binário que injeta shellcode em um processo legítimo, como `runtimeBroker.exe`. "Ao mesmo tempo, campanhas recentes registraram o uso de um loader de dois estágios, cujo segundo estágio é implementado usando um formato de arquivo executável proprietário (com suporte total para seções de código e dados, importação de funções de bibliotecas dinâmicas e realocação), e o payload final é adicionalmente comprimido e criptografado", disse a **CERT-UA**. Um dos stagers é uma ferramenta chamada TCP reverse shell ou seu equivalente, rastreada como **RAVENSHELL**, que estabelece uma conexão TCP com um servidor de gerenciamento para receber comandos para execução no host usando `cmd.exe`. Também é baixada para a máquina infectada a família de malware **AGINGFLY** e um script **PowerShell** chamado **SILENTLOOP**. **SILENTLOOP** inclui funções para executar comandos, atualizar automaticamente a configuração e obter o endereço IP atual do servidor de gerenciamento de um canal do **Telegram**, com mecanismos de fallback para determinar o endereço de comando e controle (C2). Desenvolvido em C#, **AGINGFLY** é projetado para controle remoto de sistemas comprometidos. Ele se comunica com um servidor C2 usando WebSockets para buscar comandos que permitem executar comandos, iniciar um keylogger, baixar arquivos e executar payloads adicionais.  ### Exfiltração de Dados e Ferramentas Uma investigação de cerca de uma dúzia de incidentes revelou que esses ataques facilitam reconhecimento, movimento lateral e o roubo de credenciais e outros dados sensíveis do **WhatsApp** e de navegadores baseados em Chromium. Isso é alcançado pela implantação de várias ferramentas de código aberto, incluindo: * **ChromElevator**: Um programa projetado para contornar as proteções de criptografia vinculada ao aplicativo (ABE) do Chromium e coletar cookies e senhas salvas. * **ZAPiXDESK**: Uma ferramenta forense de extração para descriptografar bancos de dados locais do **WhatsApp** Web. * **RustScan**: Um scanner de rede. * **Ligolo-Ng**: Um utilitário leve para estabelecer túneis a partir de conexões TCP/TLS reversas. * **Chisel**: Uma ferramenta para tunelamento de tráfego de rede via TCP/UDP. * **XMRig**: Um minerador de criptomoedas. ### Alvo das Forças de Defesa Ucranianas A agência também encontrou evidências sugerindo que representantes das Forças de Defesa da Ucrânia podem ter sido alvo como parte da campanha. Isso se baseia na distribuição de arquivos ZIP maliciosos via **Signal** projetados para entregar **AGINGFLY** usando a técnica de DLL side-loading. ### Mitigação Para mitigar o risco associado a esta ameaça e minimizar a superfície de ataque, recomenda-se restringir a execução de arquivos LNK, HTA e JS, juntamente com utilitários legítimos como `mshta.exe`, `powershell.exe` e `wscript.exe`.