Um relatório recente do Trac LABS revelou que o grupo de hackers UNC2465, conhecido por sua motivação financeira, está conduzindo ataques sofisticados utilizando o backdoor SMOKEDHAM. Essa ferramenta permite ao grupo penetrar e operar em redes corporativas comprometidas, ocultando sua presença por meio de estratégias avançadas e multicanais.
Leia também
I.A. já é foco de 10% dos ethical hackers
Campanha de phishing adota Banco Central como isca
O acesso inicial é obtido por métodos clássicos, como e-mails de phishing, software contaminado e comprometimento da cadeia de suprimentos. Após invadir o sistema, os hackers empregam ferramentas como Advanced IP Scanner e BloodHound para mapear a rede, RDP para navegação e Mimikatz para roubo de credenciais. Campanhas anteriores indicaram o uso de ransomwares DARKSIDE e LOCKBIT, mas ataques recentes mostram um foco crescente no SMOKEDHAM, disseminado por anúncios maliciosos e programas infectados.
A infecção começa com um script NSIS, que garante a persistência no sistema alvo ao baixar arquivos maliciosos, configurar entradas no registro e manipular serviços legítimos. A etapa final inclui a execução de um programa .NET malicioso controlado por um servidor remoto (C2), permitindo coleta de informações do sistema, capturas de tela e transferência de arquivos. Para evitar detecção, os invasores utilizam criptografia RC4 e injeção direta na memória, eliminando rastros no disco.
O SMOKEDHAM se destaca pela sofisticação, como o uso de certificados digitais para disfarçar arquivos maliciosos e a modificação de executáveis legítimos como “winlogon.exe”. Em ataques recentes, os hackers configuraram conexões remotas via UltraVNC na porta 443, indicando uma estratégia para estabelecer controle total do sistema e escalar privilégios.
O caso exemplifica como cibercriminosos modernos integram engenharia social com técnicas avançadas para criar ataques complexos e multilaterais. A capacidade de camuflar atividades maliciosas como legítimas enfatiza a necessidade de soluções de segurança abrangentes, que vão além de antivírus tradicionais, para detectar e prevenir essas ameaças sofisticadas.