top of page

Brasil é alvo de hackers que exploram vulnerabilidade no Windows para instalar RansomExx

  • Foto do escritor: Cyber Security Brazil
    Cyber Security Brazil
  • há 2 horas
  • 2 min de leitura

ree

Uma falha de segurança no Microsoft Windows, já corrigida, foi explorada por hackers para implantar o malware PipeMagic, usado em ataques do ransomware RansomExx. Essa informação foi revelada em um relatório conjunto das empresas de cibersegurança Kaspersky e BI.ZONE, que detalham como a vulnerabilidade, identificada como CVE-2025-29824, foi usada para escalar privilégios em sistemas. A falha, que afeta o Sistema de Arquivo de Log Comum (CLFS) do Windows, foi corrigida pela Microsoft em abril de 2025.


O Malware e Suas Formas de Ataque


O PipeMagic foi documentado pela primeira vez em 2022 em ataques a empresas industriais no Sudeste Asiático. Ele funciona como uma porta dos fundos (backdoor) completa, permitindo acesso remoto e a execução de comandos em computadores invadidos. Naquela época, os hackers exploravam a falha CVE-2017-0144 no Windows SMB para se infiltrar nas redes das vítimas. Mais recentemente, em outubro de 2024, na Arábia Saudita, os invasores usaram um aplicativo falso do ChatGPT como isca para entregar o malware.


A Microsoft atribuiu a exploração da falha CVE-2025-29824 e o uso do PipeMagic a um grupo hacker que ela rastreia como Storm-2460. Segundo os pesquisadores Sergey Lozhkin, Leonid Bezvershenko, Kirill Korchemny e Ilya Savelyev, o PipeMagic tem uma funcionalidade única: ele cria um canal de comunicação chamado “named pipe” para transmitir cargas criptografadas e notificações, garantindo que o backdoor funcione sem interrupções.


Evolução do Ataque e Alvos Atuais


O PipeMagic é um malware modular que usa um servidor na nuvem Microsoft Azure para entregar componentes adicionais. Em 2025, os ataques na Arábia Saudita e no Brasil usaram um arquivo de índice de ajuda da Microsoft (“metafile.mshi”) como carregador. Esse carregador desempacota um código C# que, por sua vez, decifra e executa um shellcode.


A Kaspersky descobriu artefatos do carregador do PipeMagic que se disfarçam de cliente ChatGPT, semelhantes aos vistos em outubro de 2024. Esses arquivos usam uma técnica de sequestro de DLL (DLL hijacking) para executar uma DLL maliciosa que imita um arquivo de atualização do Google Chrome.


Independentemente do método de carregamento, todos os ataques resultam na implantação do backdoor PipeMagic, que suporta vários módulos para realizar tarefas como:

  • Terminar plugins, ler/escrever arquivos e encerrar operações de arquivo.

  • Injetar novas cargas maliciosas na memória.

  • Executar outros programas.


Os pesquisadores afirmam que a detecção do PipeMagic em ataques na Arábia Saudita e sua aparição no Brasil mostram que o malware continua ativo e que os hackers estão aprimorando suas funcionalidades.


Em 2025, as versões do malware mostraram melhorias para garantir sua persistência nos sistemas e se mover lateralmente nas redes internas. Os invasores também usaram ferramentas como o ProcDump, renomeado para “dllhost.exe”, para extrair informações do processo LSASS, usado no armazenamento de senhas do sistema.


Via - THN

 
 
 

Parceiros

Inicie SuaCarreira em Cibersegurança de Elite.png
bottom of page