Hackers exploram falha de DLL Side-Loading em biblioteca c-ares para Bypassar defesas e espalhar malware

Pesquisadores divulgaram detalhes de uma campanha ativa de malware que explora uma técnica conhecida como DLL side-loading em um binário legítimo associado à biblioteca open source c-ares. A estratégia permite que hackers contornem controles de segurança tradicionais e distribuam uma ampla variedade de trojans e ladrões de informações (stealers) sem levantar alertas imediatos.

Segundo a Trellix, os hackers combinam uma DLL maliciosa chamada libcares-2.dll com qualquer versão assinada do executável legítimo ahost.exe frequentemente renomeado para enganar as vítimas. Ao explorar a ordem de busca de DLLs do sistema operacional, o binário acaba carregando o arquivo malicioso em vez da biblioteca legítima, concedendo execução de código ao invasor. Esse método é particularmente eficaz porque utiliza arquivos assinados digitalmente, o que ajuda a burlar mecanismos de detecção baseados em assinatura.

A campanha já foi observada distribuindo diversas famílias conhecidas de malware, incluindo Agent Tesla, CryptBot, Formbook, Lumma Stealer, Vidar Stealer, Remcos RAT, Quasar RAT, DCRat e XWorm. Os principais alvos são funcionários das áreas financeira, compras, cadeia de suprimentos e administração, em setores comerciais e industriais como petróleo e gás, importação e exportação. As iscas de phishing são redigidas em árabe, espanhol, português, farsi e inglês, indicando foco regional bem definido.

O executável ahost.exe explorado nessa campanha é assinado pela GitKraken e normalmente faz parte da aplicação GitKraken Desktop. Amostras analisadas no VirusTotal mostram que o malware é distribuído sob dezenas de nomes diferentes, como “Fatura da DHL.exe” e “PO-069709-Order.pdf.exe”, reforçando o uso de temas de faturas e pedidos de cotação (RFQ) para induzir usuários ao erro.

Além dessa campanha, a Trellix também alertou para um aumento significativo de golpes de phishing no Facebook que utilizam a técnica Browser-in-the-Browser (BitB). Nesse método, hackers simulam uma janela de login falsa dentro do próprio navegador da vítima, tornando extremamente difícil diferenciar uma página legítima de uma fraudulenta. As campanhas frequentemente se passam por notificações legais ou alertas de segurança, levando as vítimas a páginas falsas hospedadas em serviços legítimos como Netlify e Vercel, além do uso de encurtadores de URL.

As descobertas coincidem ainda com uma campanha de phishing em múltiplos estágios que distribui o AsyncRAT por meio de arquivos hospedados no Dropbox e túneis TryCloudflare. Pesquisadores da Forcepoint X-Labs e da Trend Micro identificaram o uso intensivo de técnicas living-off-the-land, abusando de ferramentas nativas do Windows, scripts em Python e da infraestrutura gratuita da Cloudflare para manter persistência e evitar detecção. Em muitos casos, um PDF falso é exibido como distração enquanto o malware se instala em segundo plano.

THN