Backdoor DRILLAPP
Analistas de cibersegurança identificaram uma nova campanha de ameaças direcionada a organizações ucranianas, com indícios que sugerem o envolvimento de agentes ligados à Rússia. A atividade, observada pela primeira vez em fevereiro de 2026, apresenta sobreposições técnicas com uma operação anterior atribuída ao grupo conhecido como Laundry Bear (também rastreado como UAC-0190 ou Void Blizzard). Essa campanha anterior teve como alvo as forças de defesa ucranianas e utilizou uma família de malware chamada PLUGGYAPE.
A operação mais recente introduz uma porta dos fundos baseada em JavaScript executada através do navegador Microsoft Edge. O malware, denominado DRILLAPP pelos pesquisadores, foi projetado para explorar as funcionalidades do navegador a fim de carregar e baixar arquivos, acessar o microfone e capturar imagens da webcam da vítima.
Os atacantes utilizam táticas de engenharia social para distribuir os componentes maliciosos. Iscas que fazem referência a questões legais ou causas beneficentes são usadas para incentivar as vítimas a abrir arquivos maliciosos e iniciar a cadeia de infecção.
Índice
Iscas enganosas e método de infecção inicial
A campanha foi observada em duas variantes distintas. A primeira versão, detectada no início de fevereiro de 2026, utiliza um atalho do Windows (LNK) como mecanismo de entrega inicial. Ao ser executado, o atalho cria um arquivo HTML Application (HTA) no diretório temporário do sistema. Esse arquivo HTA, por sua vez, recupera um script remoto hospedado no serviço legítimo de compartilhamento de conteúdo Pastefy.
Para manter a persistência em sistemas comprometidos, os atacantes copiam o arquivo LNK malicioso para a pasta Inicialização do Windows, garantindo que ele seja executado automaticamente após cada reinicialização do sistema. Uma vez iniciada a cadeia de infecção, as vítimas são expostas a URLs contendo temas enganosos, incluindo instruções relacionadas à instalação do Starlink ou referências à organização beneficente ucraniana Come Back Alive Foundation.
O arquivo HTA é finalmente executado através do navegador Microsoft Edge operando em modo headless, permitindo que o navegador execute o script ofuscado obtido do Pastefy sem exibir uma janela de navegador padrão.
Explorando parâmetros do navegador para acesso furtivo
Para maximizar suas capacidades, o processo malicioso inicia o navegador Edge com múltiplos parâmetros que enfraquecem as proteções de segurança integradas e permitem o acesso não autorizado a recursos sensíveis do sistema.
Esses parâmetros permitem que a instância do navegador ignore as salvaguardas típicas e execute ações normalmente restritas pelos modelos de segurança do navegador. A configuração permite que o malware acesse arquivos locais, capture fluxos de áudio e vídeo e grave a atividade da tela sem exigir qualquer interação da vítima.
Os principais parâmetros do navegador usados no ataque incluem:
--sem-sandbox
--desativar-segurança-web
--permitir-acesso-a-arquivos-de-arquivos
--use-fake-ui-for-media-stream
--auto-select-screen-capture-source=true
--desativar-segurança-de-mídia-do-usuário
Ao abusar dessas configurações, o navegador se torna um componente funcional da infraestrutura de malware, em vez de ser apenas uma plataforma de distribuição.
Recursos de backdoor e vigilância baseados em navegador
O artefato DRILLAPP funciona como uma porta dos fundos leve, porém versátil. Uma vez ativo, ele permite que os invasores interajam com o sistema infectado por meio de recursos habilitados pelo navegador, transformando-o efetivamente em uma ferramenta de vigilância remota.
O malware é capaz de executar diversas operações que permitem o monitoramento extensivo e a coleta de dados de dispositivos comprometidos.
As principais competências incluem:
- Carregar e descarregar ficheiros do sistema local
- Captura de áudio através do microfone do dispositivo
- Gravação de vídeo através da webcam
- Capturar screenshots da tela do sistema
- Geração de uma impressão digital única do dispositivo usando técnicas de impressão digital em tela.
Durante sua primeira execução, o malware gera uma impressão digital do dispositivo e usa o Pastefy como um "resolvedor de dead-drop" para recuperar um endereço WebSocket usado para comunicações de comando e controle. Essa arquitetura permite que os atacantes redirecionem dinamicamente os sistemas infectados para sua infraestrutura operacional.
O backdoor também transmite a impressão digital do dispositivo juntamente com a localização geográfica inferida da vítima. A localização é determinada a partir do fuso horário do sistema e comparada com uma lista predefinida que inclui Reino Unido, Rússia, Alemanha, França, China, Japão, Estados Unidos, Brasil, Índia, Ucrânia, Canadá, Austrália, Itália, Espanha e Polônia. Se o fuso horário não corresponder a nenhuma dessas regiões, o malware identifica o sistema como estando localizado nos Estados Unidos.
Técnicas em evolução na segunda variante da campanha
Uma segunda versão da campanha surgiu no final de fevereiro de 2026, introduzindo diversas modificações, mas mantendo a estrutura geral do ataque. Em vez de depender de arquivos de atalho LNK, a variante atualizada utiliza módulos do Painel de Controle do Windows como mecanismo de entrega inicial.
O próprio componente backdoor também recebeu atualizações funcionais. Esses aprimoramentos permitem que o malware execute operações mais profundas no sistema de arquivos e melhore sua capacidade de exfiltrar dados de ambientes infectados.
Entre as melhorias notáveis, incluem-se a enumeração recursiva de arquivos, o carregamento de arquivos em lote e a capacidade de baixar arquivos arbitrários diretamente para o sistema comprometido.
Contornando as restrições do JavaScript com as ferramentas de depuração do Chromium
As restrições de segurança padrão do JavaScript normalmente impedem que códigos remotos baixem arquivos diretamente para o sistema da vítima. Para contornar essa limitação, os atacantes exploram o Protocolo de Ferramentas de Desenvolvimento do Chrome (CDP), uma interface de depuração interna usada por navegadores baseados no Chromium.
O CDP só pode ser acessado quando o navegador é iniciado com o parâmetro --remote-debugging-port ativado. Ao ativar essa funcionalidade de depuração, os atacantes obtêm a capacidade de controlar o comportamento do navegador programaticamente e contornar as restrições típicas do lado do cliente, permitindo downloads remotos de arquivos que, de outra forma, seriam bloqueados.
Indicadores de Desenvolvimento Inicial e Infraestrutura Experimental
As evidências sugerem que o malware ainda está em desenvolvimento ativo. Uma variante inicial descoberta em ambiente real em 28 de janeiro de 2026 comunicava-se exclusivamente com o domínio 'gnome.com', em vez de obter sua carga útil principal do Pastefy.
Esse comportamento indica que os agentes da ameaça podem ainda estar aprimorando tanto sua infraestrutura quanto as capacidades operacionais da porta dos fundos.
Abuso de navegadores como estratégia emergente de evasão
Um dos aspectos mais significativos da campanha é o uso deliberado de um navegador web como principal ambiente de execução do backdoor. Essa abordagem evidencia uma tendência crescente em que os atacantes reutilizam softwares legítimos para evitar a detecção.
Os navegadores oferecem diversas vantagens para operações maliciosas. São amplamente utilizados e geralmente considerados processos benignos, reduzindo a probabilidade de suspeita imediata. Além disso, os parâmetros de depuração do navegador podem desbloquear recursos poderosos que permitem ações antes restritas, como downloads remotos de arquivos e acesso amplo ao sistema.
Além disso, os navegadores mantêm permissões legítimas para interagir com recursos de hardware sensíveis, incluindo microfones, câmeras e mecanismos de captura de tela, o que permite que os invasores realizem atividades de vigilância enquanto se misturam ao comportamento normal do sistema.
