Cotação de desconto para licenças múltiplas
Banco de Dados de Ameaças Malware Malware XDigo

Malware XDigo

Por Mezo em Malware, Ameaça Persistente Avançada (APT)
Traduzir Para:

Pesquisadores de segurança cibernética descobriram uma nova campanha de espionagem cibernética envolvendo um ladrão de malware baseado em Go, denominado XDigo, que foi implantado em março de 2025 contra organizações governamentais do Leste Europeu. O malware está vinculado ao persistente grupo de agentes de ameaças XDSpy, ativo na região desde pelo menos 2011.

O retorno do XDSpy: uma década de vigilância

O XDSpy é um grupo de espionagem cibernética bem documentado, conhecido por ter como alvo agências governamentais em toda a Europa Oriental e nos Bálcãs. Analisado publicamente pela primeira vez em 2020, o XDSpy tem mantido um padrão constante de atividade, evoluindo seu conjunto de ferramentas e escopo de segmentação ao longo dos anos.

Campanhas recentes atribuídas ao grupo atingiram organizações na Rússia e na Moldávia, implantando famílias de malware como UTask, XDDown e DSDownloader — ferramentas projetadas para baixar cargas adicionais e desviar dados confidenciais de sistemas infectados.

Explorações do LNK: o perigo oculto por trás dos atalhos do Windows

A campanha XDigo emprega uma cadeia de ataque de vários estágios que começa com arquivos de atalho do Windows (.LNK), explorando uma vulnerabilidade de execução remota de código no Microsoft Windows rastreada como ZDI-CAN-25373, divulgada publicamente em março de 2025.

Esta vulnerabilidade surge do manuseio incorreto de arquivos LNK especialmente criados, permitindo que conteúdo malicioso permaneça invisível na interface do usuário, mas ainda execute código no contexto do usuário atual. Uma análise mais aprofundada revelou um subconjunto de nove desses arquivos LNK, explorando uma falha de confusão de análise causada pela implementação parcial da especificação MS-SHLLINK (v8.0) pela Microsoft.

Confusão de análise sintática: especificação vs. implementação

A especificação MS-SHLLINK permite strings de até 65.535 caracteres, mas o Windows 11 limita o conteúdo real a 259 caracteres, com exceção dos argumentos de linha de comando. Essa incompatibilidade introduz inconsistências na forma como os arquivos LNK são interpretados entre as plataformas.

Os invasores exploram essa lacuna criando arquivos LNK que parecem válidos ou inválidos dependendo do analisador, permitindo:

  • Execução de comandos inesperados ou ocultos
  • Evitando a detecção pela interface do usuário do Windows e por ferramentas de análise de terceiros

Ao combinar isso com técnicas de preenchimento de espaços em branco, os adversários efetivamente obscurecem a verdadeira intenção do atalho, aumentando as chances de execução bem-sucedida sem alertar os usuários ou as ferramentas de segurança.

Cadeia de infecção: arquivos ZIP, iscas e carregamento lateral de DLL

Os nove arquivos LNK maliciosos identificados foram distribuídos em arquivos ZIP, cada um contendo outro arquivo ZIP que agrupava:

  • Um documento PDF falso
  • Um executável legítimo renomeado
  • Uma DLL maliciosa carregada lateralmente pelo binário

Esta DLL, chamada ETDownloader, serve como uma carga útil de primeiro estágio projetada para baixar o implante principal - XDigo.

XDigo: Um ladrão de dados refinado

XDigo é um implante de malware baseado em Go, considerado uma evolução do UsrRunVGA.exe, documentado anteriormente em outubro de 2023. Ele está equipado para:

  • Coletar arquivos locais.
  • Capture conteúdo da área de transferência.
  • Faça capturas de tela.
  • Execute comandos ou binários obtidos de um servidor remoto via HTTP GET.
  • Exfiltre dados roubados usando solicitações HTTP POST.

Essa funcionalidade confirma o papel do XDigo como um ladrão voltado para espionagem, projetado para coleta furtiva de informações.

Perfil do alvo e consistência tática

Investigadores confirmaram pelo menos um alvo na região de Minsk, com outros indícios apontando para operações contra grupos varejistas russos, instituições financeiras, seguradoras e serviços postais governamentais. Essa vitimização se alinha estreitamente com o foco histórico do XDSpy, especialmente na Europa Oriental e na Bielorrússia.

Técnicas de Evasão e Sofisticação Tática

O XDSpy demonstrou forte capacidade de escapar das defesas modernas. Notavelmente, seu malware foi o primeiro a tentar escapar de uma solução sandbox específica, refletindo um alto grau de personalização e adaptabilidade em resposta à evolução dos cenários de segurança.

Resumo: Principais conclusões

A campanha XDigo apresenta uma combinação sofisticada de técnicas e estratégias de direcionamento. Envolveu a exploração de uma vulnerabilidade do Windows identificada como ZDI-CAN-25373 por meio de arquivos LNK especialmente criados, além da manipulação de inconsistências de análise sintática de LNK para ocultar atividades maliciosas. Os invasores também recorreram ao sideload de DLLs, utilizando executáveis legítimos renomeados para carregar componentes maliciosos. A comunicação com a infraestrutura de comando e controle e a exfiltração de dados roubados foram conduzidas por meio de protocolos HTTP padrão, permitindo furtividade e evasão.

Em termos de segmentação, a campanha concentrou-se fortemente em entidades governamentais, particularmente na Bielorrússia e na Rússia. Também estendeu seu alcance aos setores financeiro e varejista, bem como a grandes seguradoras e serviços postais nacionais. Essa operação destaca a inovação persistente de agentes de ameaças alinhados a Estados e reforça a necessidade crítica de examinar até mesmo tipos de arquivos aparentemente inofensivos, como arquivos LNK, em busca de ameaças ocultas.

Tendendo

Mais visto

Carregando...