Cotação de desconto para licenças múltiplas
Banco de Dados de Ameaças Ferramentas de Administração Remota RATO AGEWHEEZE

RATO AGEWHEEZE

Por Mezo em Ferramentas de Administração Remota, Ameaça Persistente Avançada (APT)
Traduzir Para:

Analistas de cibersegurança descobriram uma operação de phishing direcionada, na qual agentes maliciosos se fizeram passar pela Equipe de Resposta a Emergências Cibernéticas da Ucrânia (CERT) para distribuir uma ferramenta de administração remota conhecida como AGEWHEEZE. A campanha, atribuída ao grupo UAC-0255, utilizou e-mails enganosos enviados nos dias 26 e 27 de março de 2026, incentivando os destinatários a instalar o que foi descrito como um "software especializado".

Esses e-mails continham links para um arquivo ZIP protegido por senha, hospedado no Files.fm. O arquivo, chamado CERT_UA_protection_tool.zip, era apresentado como um utilitário de segurança legítimo, mas, na verdade, distribuía conteúdo malicioso. Algumas mensagens se originavam do endereço falsificado 'incidents@cert-ua.tech', reforçando ainda mais a ilusão de autenticidade.

Perfil do alvo e alcance do ataque

A operação teve um amplo alcance, visando uma gama diversificada de organizações essenciais para a infraestrutura nacional e os serviços públicos. Entre elas, estavam:

  • Instituições governamentais e estatais
  • Instalações médicas e de saúde
  • Empresas relacionadas à segurança e defesa
  • Organizações educacionais
  • Instituições financeiras
  • Empresas de desenvolvimento de software

Apesar da estratégia de abrangência, a eficácia geral da campanha parece limitada. Apenas um pequeno número de infecções foi confirmado, afetando principalmente dispositivos pessoais de funcionários de instituições de ensino.

Por dentro do AGEWHEEZE: Capacidades e Mecanismos de Persistência

AGEWHEEZE é um trojan de acesso remoto baseado em Go, projetado para controle e vigilância extensivos de sistemas. Uma vez implantado, ele estabelece comunicação com um servidor de comando e controle no endereço 54.36.237.92 usando protocolos WebSocket.

O malware permite que os atacantes realizem um amplo espectro de atividades maliciosas, incluindo:

  • Executar comandos arbitrários e gerenciar processos do sistema.
  • Realizar operações com arquivos e manipular dados armazenados.
  • Capturar capturas de tela e monitorar a atividade do usuário.
  • Emulação de entradas de mouse e teclado
  • Alterar o conteúdo da área de transferência
  • Manter a persistência por meio de tarefas agendadas, modificações no Registro do Windows ou inclusão no diretório de inicialização.

Essa combinação de recursos torna o AGEWHEEZE uma ferramenta versátil para espionagem, movimentação lateral e comprometimento de sistemas a longo prazo.

Infraestrutura enganosa e fabricação assistida por IA

A investigação do domínio fraudulento 'cert-ua.tech' revelou indícios de desenvolvimento automatizado ou assistido por IA. O código-fonte HTML do site continha um comentário notável em russo: 'С Любовью, КИБЕР СЕРП' ('Com amor, CYBER SERP'), sugerindo atribuição a um grupo que se autodenomina Cyber Serp.

O grupo Cyber Serp alegou ter ligações com círculos da clandestinidade cibernética ucraniana através de seu canal no Telegram, criado em novembro de 2025 e que já conta com mais de 700 inscritos. O grupo afirmou publicamente que a campanha de phishing teve como alvo até um milhão de contas de e-mail e resultou em mais de 200 mil dispositivos comprometidos, números que excedem significativamente as avaliações independentes.

Alegações conflitantes e atividades de ameaça mais amplas

A Cyber Serp tentou se posicionar como uma empresa seletiva, alegando que cidadãos comuns não seriam afetados por suas operações. No entanto, tais afirmações são inconsistentes com a natureza indiscriminada de campanhas de phishing em larga escala.

Em um incidente separado, o grupo reivindicou a responsabilidade pela invasão da Cipher, alegando acesso a dados do servidor, bancos de dados de clientes e código-fonte proprietário. Posteriormente, a Cipher confirmou uma violação limitada envolvendo as credenciais de um funcionário, mas enfatizou que:

  • A infraestrutura principal permaneceu segura e operacional.
  • A conta afetada tinha acesso a apenas um projeto não confidencial.

Essa discrepância evidencia uma tática comum entre os agentes de ameaça: exagerar o impacto para ampliar a influência e a credibilidade percebidas.

Avaliação e implicações de segurança

A campanha demonstra a eficácia contínua das táticas de falsificação de identidade, especialmente quando se aproveitam de entidades nacionais de cibersegurança confiáveis. Embora o impacto imediato tenha sido contido, a sofisticação técnica do AGEWHEEZE e a escala da tentativa de distribuição indicam um cenário de ameaças persistente e em constante evolução.

Recomenda-se que as organizações reforcem os processos de verificação de e-mails, examinem minuciosamente anexos não solicitados e capacitem seus funcionários a reconhecer tentativas de falsificação de identidade envolvendo instituições de autoridade.

Tendendo

Mais visto

Carregando...