Cotação de desconto para licenças múltiplas
Banco de Dados de Ameaças Malware Malware BADAUDIO

Malware BADAUDIO

Por Mezo em Malware, Ameaça Persistente Avançada (APT)
Traduzir Para:

A vigilância em cibersegurança continua sendo essencial, visto que os agentes de ameaças refinam continuamente suas táticas e estratégias. Um grupo ligado à China, conhecido como APT24, vem implantando um malware até então desconhecido, chamado BADAUDIO, para manter acesso prolongado a redes-alvo. Essa atividade faz parte de uma campanha que já dura quase três anos, evidenciando os métodos sofisticados e adaptáveis utilizados por ameaças persistentes avançadas (APTs).

De ataques generalizados a operações direcionadas

Inicialmente, o APT24 dependia de amplas invasões estratégicas na web para infectar sites legítimos. Com o tempo, o grupo mudou seu foco para ataques mais precisos, especialmente contra organizações em Taiwan. Os principais métodos incluem:

  • Ataques à cadeia de suprimentos, como invasões repetidas de uma empresa regional de marketing digital para distribuir scripts maliciosos.
  • Campanhas de spear-phishing direcionadas a indivíduos ou organizações específicas.

O APT24, também conhecido como Pitty Tiger, tem historicamente se concentrado em setores como governo, saúde, construção e engenharia, mineração, organizações sem fins lucrativos e telecomunicações nos EUA e em Taiwan. Evidências sugerem que o grupo está ativo desde pelo menos 2008, utilizando e-mails de phishing contendo documentos maliciosos do Microsoft Office que exploram vulnerabilidades como CVE-2012-0158 e CVE-2014-1761.

Arsenal de malware: de RATs a BADAUDIO

O APT24 implantou uma ampla variedade de famílias de malware:

  • CT RAT
  • M RAT (Goldsun-B), uma variante do Enfal/Lurid Downloader
  • Paladin RAT e Leo RAT, variantes de Gh0st RAT
  • Porta traseira Taidoor (Roudan)

O recém-descoberto BADAUDIO destaca-se pela sua sofisticação. Escrito em C++, é altamente ofuscado e utiliza o achatamento do fluxo de controle para resistir à engenharia reversa. Ele atua como um downloader de primeiro estágio, capaz de recuperar, descriptografar e executar uma carga útil criptografada em AES a partir de um servidor de Comando e Controle (C2) embutido no código.

O BADAUDIO geralmente opera como uma DLL maliciosa, explorando o sequestro da ordem de busca de DLLs para execução por meio de aplicativos legítimos. As variantes recentes são distribuídas como arquivos criptografados contendo DLLs juntamente com arquivos VBS, BAT e LNK.

A campanha BADAUDIO: técnicas e execução

A campanha BADAUDIO, em andamento desde novembro de 2022, tem se baseado em múltiplos vetores de acesso inicial:

  • bebedouros
  • Compromissos na cadeia de suprimentos
  • e-mails de spear phishing

De 2022 ao início de 2025, o APT24 comprometeu mais de 20 sites legítimos, injetando JavaScript que:

  • Visitantes com macOS, iOS e Android foram excluídos.
  • Gerou impressões digitais únicas do navegador usando o FingerprintJS.
  • Apareceram janelas pop-up incentivando os usuários a baixar o BADAUDIO, disfarçadas de atualização do Google Chrome.

Em julho de 2024, o grupo intensificou suas atividades com um ataque à cadeia de suprimentos por meio de uma empresa regional de marketing digital em Taiwan, injetando JavaScript malicioso em uma biblioteca amplamente distribuída. Isso afetou mais de 1.000 domínios.

O ataque utilizou um domínio CDN com typosquatting para buscar scripts controlados pelo atacante, identificar máquinas e exibir pop-ups falsos. Um mecanismo de carregamento condicional de scripts, introduzido em junho de 2025, permitiu o direcionamento específico de domínios individuais, embora uma breve falha em agosto tenha permitido que todos os 1.000 domínios fossem comprometidos antes que a restrição fosse restabelecida.

Phishing avançado e engenharia social

Desde agosto de 2024, o APT24 vem realizando campanhas de phishing altamente direcionadas, utilizando iscas como organizações de resgate de animais. As vítimas recebem arquivos criptografados contendo áudio malicioso (BADAUDIO) via Google Drive ou Microsoft OneDrive, com pixels de rastreamento para monitorar o engajamento e otimizar os ataques.
A combinação de manipulação da cadeia de suprimentos, engenharia social avançada e abuso de serviços em nuvem demonstra a capacidade do APT24 para espionagem persistente e adaptativa.

As operações do APT24 ilustram a crescente complexidade das ameaças cibernéticas ligadas a Estados, enfatizando a necessidade de as organizações implementarem um monitoramento de segurança rigoroso, verificarem a integridade do software e educarem o pessoal sobre phishing sofisticado e riscos na cadeia de suprimentos.

Tendendo

Mais visto

Carregando...