Cotação de desconto para licenças múltiplas
Banco de Dados de Ameaças Malware Variante JavaScript do PicassoLoader

Variante JavaScript do PicassoLoader

Por Mezo em Malware, Ameaça Persistente Avançada (APT)
Traduzir Para:

O grupo de ameaças conhecido como Ghostwriter foi associado a uma nova onda de ciberataques contra organizações governamentais na Ucrânia. Ativo desde pelo menos 2016, o grupo construiu uma reputação por conduzir tanto espionagem cibernética quanto campanhas de influência em toda a Europa Oriental, com um forte foco operacional na Ucrânia e em países vizinhos.

O grupo de ameaças também é rastreado sob vários pseudônimos, incluindo FrostyNeighbor, PUSHCHA, Storm-0257, TA445, UAC-0057, Umbral Bison, UNC1151 e White Lynx. Ao longo dos anos, o grupo tem refinado continuamente sua infraestrutura, cadeias de ataque e métodos de evasão, em um esforço para contornar os controles de segurança e manter a eficácia operacional a longo prazo.

Arsenal de malware em constante evolução

O Ghostwriter tem modernizado consistentemente seu ecossistema de malware e suas técnicas de distribuição. Campanhas anteriores dependiam fortemente da família de malware PicassoLoader, que funcionava como um mecanismo de distribuição para payloads adicionais, como o Cobalt Strike Beacon e o njRAT.

No final de 2023, o grupo expandiu suas capacidades explorando a vulnerabilidade CVE-2023-38831 do WinRAR para distribuir o PicassoLoader e o Cobalt Strike. No ano seguinte, organizações polonesas foram alvo de uma campanha de phishing que explorou uma falha de cross-site scripting (XSS) no Roundcube, identificada como CVE-2024-42009. A atividade maliciosa permitiu que os atacantes executassem JavaScript capaz de coletar credenciais de e-mail das vítimas.

As contas comprometidas foram posteriormente usadas para inspecionar o conteúdo de caixas de correio, roubar listas de contatos e distribuir mensagens de phishing adicionais durante junho de 2025. No final de 2025, o grupo também havia integrado técnicas avançadas de anti-análise às suas operações. Certos documentos de isca passaram a usar verificação CAPTCHA dinâmica para ativar seletivamente a cadeia de infecção maliciosa e frustrar ambientes de análise automatizados.

Campanhas sofisticadas de spear-phishing têm como alvo a Ucrânia.

Desde março de 2026, pesquisadores observaram uma nova campanha direcionada a instituições governamentais ucranianas por meio de e-mails de spear-phishing contendo anexos PDF maliciosos. Os documentos falsos se fazem passar pela provedora de telecomunicações ucraniana Ukrtelecom, numa tentativa de parecerem legítimos e aumentar o engajamento das vítimas.

A cadeia de ataque se baseia em links embutidos em arquivos PDF que redirecionam as vítimas para um arquivo RAR malicioso contendo um payload em JavaScript. Uma vez executado, o malware exibe um documento falso para manter a ilusão de legitimidade enquanto, silenciosamente, inicia em segundo plano uma variante em JavaScript do PicassoLoader. O loader, então, implanta o Cobalt Strike Beacon nos sistemas comprometidos.

Geofencing e validação da vítima aprimoram o sigilo.

Um dos aspectos mais notáveis da campanha mais recente é a implementação de geofencing e mecanismos de validação de vítimas em camadas. Sistemas que se conectam a partir de endereços IP fora da Ucrânia recebem conteúdo PDF inofensivo em vez da carga maliciosa, reduzindo significativamente a exposição a pesquisadores e sistemas de varredura automatizados.

O malware também realiza uma extensa coleta de dados dos hosts comprometidos antes de entregar cargas adicionais. As informações coletadas do sistema são transmitidas para a infraestrutura controlada pelo atacante a cada dez minutos, permitindo que os operadores determinem manualmente se uma vítima justifica uma exploração mais aprofundada. Somente após a conclusão desse processo de validação, a infraestrutura entrega um dropper JavaScript de terceiro estágio, responsável por instalar o Cobalt Strike Beacon.

A operação combina métodos de filtragem automatizados, incluindo verificação baseada em agente do usuário e endereço IP, com revisão manual por operadores, evidenciando uma metodologia de ataque altamente disciplinada e madura.

A estratégia de segmentação regional se expande por toda a Europa Oriental.

A atividade atual parece concentrar-se principalmente em entidades militares, de defesa e governamentais na Ucrânia. No entanto, as operações atribuídas ao grupo Ghostwriter na Polônia e na Lituânia demonstram uma estratégia de ataque mais ampla, que se estende a múltiplos setores críticos:

  • Organizações industriais e de manufatura
  • Instituições de saúde e farmacêuticas
  • fornecedores de logística
  • Agências governamentais

A evolução contínua das ferramentas, mecanismos de entrega e práticas de segurança operacional do Ghostwriter ressalta a persistência e a adaptabilidade do grupo. Sua capacidade de combinar documentos-isca personalizados, entrega seletiva de payloads, técnicas anti-análise e validação manual da vítima demonstra uma sofisticada capacidade de ciberespionagem projetada para evitar a detecção e, ao mesmo tempo, maximizar o impacto operacional.

Tendendo

Alerta de entregabilidade de e-mail | Golpe de e-mail

Phishing, Spam
E-mails inesperados devem sempre ser tratados com cautela, especialmente quando criam uma sensação de urgência ou solicitam informações confidenciais. Criminosos cibernéticos frequentemente disfarçam mensagens de phishing como notificações legítimas de provedores de serviços confiáveis, numa tentativa de enganar os destinatários para que revelem dados pessoais. Os chamados e-mails de "Alerta de...

Mais visto

Carregando...