Investigadores de cibersegurança identificaram uma campanha de malware que utiliza a blockchain TON, software legítimo e componentes de confiança do Windows para construir uma infraestrutura de comando e controlo (C2) resiliente, capaz de contornar medidas de segurança convencionais. Os atacantes combinam a tecnologia blockchain com aplicações amplamente utilizadas para dificultar a deteção de malware e minar os esforços tradicionais de neutralização. Esta campanha reflete uma tendência crescente em que os cibercriminosos exploram tecnologias descentralizadas e ecossistemas de software legítimo para criar uma infraestrutura de malware altamente resiliente, capaz de resistir ao bloqueio de domínios e às defesas tradicionais de segurança.
O ataque começa com e-mails de phishing disfarçados de comunicações relacionadas com reservas. Os destinatários são direcionados para uma ligação Google Share que os reencaminha para um website malicioso, onde são solicitados a descarregar um arquivo ZIP diretamente ou através de uma interface estilo ClickFix. O arquivo descarregado contém um ficheiro de atalho do Windows (LNK) malicioso, disfarçado de imagem ao usar um ícone da biblioteca shell32.dll do Windows.
Quando o ficheiro de atalho é aberto, executa silenciosamente um comando PowerShell ofuscado. Em vez de armazenar o domínio de descarregamento em texto simples, os atacantes codificam o endereço como dois valores numéricos grandes. O script PowerShell incorporado reconstrói o domínio malicioso através de operações aritméticas e bitwise, tornando a infraestrutura mais difícil de identificar por ferramentas de segurança durante a análise estática.
A carga útil (payload) em PowerShell, em seguida, verifica se o runtime Node.js já está instalado no dispositivo-alvo. Se não estiver presente, o malware descarrega a versão legítima do Node.js para Windows a partir da infraestrutura oficial de distribuição do projeto e extrai-a para o diretório LocalAppData do utilizador. Ao depender de componentes de software autênticos em vez de executáveis maliciosos apenas, os atacantes procuram misturar a sua atividade com o comportamento de aplicações legítimas e reduzir a probabilidade de deteção.
Após instalar ou localizar o Node.js, o malware desencripta uma carga útil em JavaScript protegida com cifragem AES-128-CBC e codificação Base64. O código desencriptado é executado através do runtime legítimo do Node.js, com a configuração de comando e controlo fornecida como argumento de runtime.
Os investigadores referiram que o implante em JavaScript estava fortemente ofuscado e foi executado através de um interpretador de máquina virtual personalizado em vez de JavaScript padrão. Esta técnica aumenta significativamente a complexidade da análise de malware, ao impedir que ferramentas de segurança tradicionais baseadas em assinaturas identifiquem facilmente código malicioso.
O ataque utiliza a blockchain TON como uma infraestrutura resiliente de comando e controlo, permitindo que os atacantes atualizem instruções maliciosas sem modificar ou redistribuir malware já instalado em sistemas comprometidos. Os investigadores identificaram vários domínios históricos de comando e controlo associados à campanha. No entanto, o malware não depende exclusivamente de domínios fixos para instruções. Em vez disso, os operadores podem modificar dados de configuração alojados na blockchain sempre que a infraestrutura estiver bloqueada, permitindo que os sistemas infetados obtenham informações de comando e controlo atualizadas sem exigir que o próprio malware seja substituído.
O malware é capaz de descarregar executáveis para Windows, scripts PowerShell e cargas úteis adicionais em JavaScript. Antes de executar programas do Windows descarregados, verifica o cabeçalho do ficheiro Portable Executable (PE), guarda o ficheiro com um nome aleatoriamente gerado na diretoria temporária e pode tentar adicionar o caminho do ficheiro à lista de exclusões do Microsoft Defender para reduzir as probabilidades de deteção durante a execução.
Os investigadores aconselharam as organizações a manterem-se vigilantes face a campanhas de phishing com temas de viagens e reservas, sobretudo e-mails que contenham ligações Google Share que redirecionam os utilizadores para downloads suspeitos. Também recomendaram monitorizar arquivos ZIP que contenham ficheiros de atalho LNK disfarçados de imagens, bem como atividade inesperada em PowerShell e instalações não autorizadas de Node.js em sistemas empresariais.
Para que é usada a blockchain TON nesta campanha de malware?
A blockchain TON é usada como uma infraestrutura resiliente de comando e controlo que permite aos atacantes atualizar instruções maliciosas sem modificar ou redistribuir malware já instalado em sistemas comprometidos. Os operadores podem modificar dados de configuração alojados na blockchain sempre que a infraestrutura estiver bloqueada, permitindo que os sistemas infetados obtenham informações de comando e controlo atualizadas.
Como é que o malware se disfarça de software legítimo?
O malware descarrega a versão legítima do Node.js para Windows a partir da infraestrutura oficial de distribuição do projeto e executa cargas úteis em JavaScript encriptadas através do runtime autêntico do Node.js. Ao depender de componentes de software fidedignos e de utilitários do Windows, os atacantes misturam a sua atividade com o comportamento de aplicações legítimas para reduzir a probabilidade de deteção pelas ferramentas de segurança.
Notícias relacionadas
A NEC Partners com a Ava Labs numa plataforma de Blockchain de identificação facial para visitantes do Japão
Universidade de Telavive descobre ataque de HalluSquatting, onde alucinações de IA podem ser exploradas para criar redes de zumbis
Oceanus Chain lança ecossistema DeFi e IA com pré-venda do token OCS
Empresas de criptomoedas desenvolvem planos resistentes à quântica enquanto o Google alerta para ameaça em 2029
Contratos inteligentes do Ethereum impulsionam campanha de skimming Magecart