JEFFERSON SANTOS / UNSPLASH - Arquivo
MADRID 4 nov. (Portaltic/EP) -
Uma campanha de espionagem cibernética altamente sofisticada que explorou uma vulnerabilidade de dia zero no Chrome identificou um novo spyware vinculado a um grupo de criminosos cibernéticos que se acredita estar inativo há vários anos.
A Equipe Global de Pesquisa e Análise (GReAT) da Kaspersky descobriu evidências que ligam o sucessor do HackingTeam, o Memento Labs, a uma nova onda de ataques cibernéticos.
No centro da investigação está a 'Operation ForumTroll', uma campanha APT que explorou uma vulnerabilidade no Chrome identificada como CVE-2025-2783 e classificada como de alta gravidade, que permitiu que a sandbox fosse contornada com um arquivo malicioso, como um link, e assumisse o controle do computador.
Embora o Google tenha corrigido a vulnerabilidade com a versão 134.0.6998.177/.178 do Chrome, os atacantes cibernéticos conseguiram explorá-la para distribuir o spyware LeetAgent por meio de e-mails de phishing personalizados.
Em uma investigação mais aprofundada, os especialistas da Kaspersky identificaram que o LeetAgent usava comandos escritos em leetspeak, um recurso incomum para o malware APT. Ele também compartilhava ferramentas com o malware conhecido como Dante.
Foi esse segundo malware que permitiu à equipe da Kaspersky vincular a Operação ForumTroll à Memento Labs, a empresa sucessora da HackingTeam, que se acreditava estar inativa desde 2015, depois que sua infraestrutura foi invadida e uma parte significativa de sua documentação interna foi exposta.
Isso porque o Dante, que às vezes lançava o LeetAgent como um segundo "spyware" e com o qual compartilhava um carregador, também tinha semelhanças com o spyware Remote Control System da HackingTeam. No entanto, desvendar o Dante não foi fácil, como a Kaspersky explicou em um comunicado à imprensa, pois ele usava técnicas sofisticadas para evitar ser analisado, como camuflar seu código com ferramentas como o VMProtect.
O GReAT identificou a Operação ForumTroll no início deste ano, em março, o que permitiu que o Google corrigisse a vulnerabilidade rapidamente. Mesmo assim, a campanha teve como alvo a mídia russa, agências governamentais, instituições educacionais e instituições financeiras.
Esta notícia foi traduzida por um tradutor automático