Malware MeshAgent compromete sistemas do governo ucraniano em campanha de phishing direcionada

Uma recente campanha de phishing comprometeu mais de 100 computadores do governo local e estadual ucraniano, implantando o malware MeshAgent por meio de e-mails disfarçados de comunicação oficial do Serviço de Segurança da Ucrânia (SBU). A Computer Emergency Response Team of Ukraine (CERT-UA) identificou esse ataque na segunda-feira, destacando a crescente sofisticação das ameaças cibernéticas enfrentadas pela Ucrânia em meio ao conflito em andamento.

Como o ataque se desenrolou

Os e-mails de phishing, aparentemente originados do SBU, direcionavam os destinatários a baixar um arquivo chamado "Documents.zip". Em vez de documentos legítimos, o link entregava um arquivo malicioso do Microsoft Software Installer (MSI), como "Scan_docs#40562153.msi". Quando executado, esse arquivo implantava o malware ANONVNC, uma iteração da ferramenta de software MeshAgent, concedendo aos invasores acesso secreto e não autorizado aos sistemas comprometidos.

Compreendendo o malware ANONVNC (MeshAgent)

O malware ANONVNC é uma variante do MeshAgent, uma ferramenta de gerenciamento remoto normalmente usada com a plataforma de código aberto MeshCentral. Embora o MeshAgent não seja inerentemente malicioso, os agentes de ameaças o têm cada vez mais usado como arma para estabelecer backdoors persistentes em sistemas comprometidos, permitindo acesso e controle remotos por meio de protocolos como VNC, RDP ou SSH.

Os principais recursos do MeshAgent que o tornam atraente para os criminosos cibernéticos incluem:

  • Conexão perfeita: o MeshCentral se conecta aos endpoints sem intervenção do usuário, facilitando a manutenção do acesso por invasores.
  • Acesso não autorizado: invasores podem controlar os sistemas infectados remotamente via RDP, geralmente sem o consentimento ou conhecimento do usuário.
  • Controle do sistema: o MeshAgent permite operações remotas, como ativar, reiniciar ou desligar sistemas.
  • Comando e controle: o MeshCentral pode executar comandos de shell e transferir arquivos na máquina de destino, tudo isso evitando a detecção.
  • Operações indetectáveis: o malware opera sob contas de sistema altamente privilegiadas, misturando-se a tarefas legítimas em segundo plano.
  • Hashes de arquivo exclusivos: cada instância do MeshAgent é gerada exclusivamente, complicando os esforços de detecção com base em hashes de arquivo.

Detalhes técnicos da operação do MeshAgent

Em um sistema Windows, o MeshAgent normalmente segue estas etapas:

  1. Inicia o serviço em segundo plano MeshCentral.
  2. Conecta-se ao servidor MeshCentral, estabelecendo um canal de comunicação.
  3. Instala usando o sinalizador de comando -fullinstall , colocando seu executável em C:\Program Files\Mesh Agent\MeshAgent.exe .
  4. Cria armazenamento de configuração no registro em HKLM\System\CurrentControlSet\Services\Mesh Agent .
  5. Adiciona uma chave de registro em HKLM\System\CurrentControlSet\Control\SafeBoot\Network\MeshAgent para habilitar o acesso à rede durante o Modo de Segurança.
  6. Modifica os serviços do Windows para garantir a persistência e habilitar o tráfego WebRTC através do firewall.
  7. Executa ações usando contas de sistema privilegiadas, como NT AUTHORITY\SYSTEM e LocalService.

Ao reconectar-se ao MeshCentral, o MeshAgent se entrincheira ainda mais criando uma chave de registro em HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\MeshUserTask , agendando tarefas como despertar, dormir e execução de comando. Se o malware se reconectar sem permissão, ele altera o serviço do gerenciador de conexão de "início por demanda" para "início automático", garantindo acesso contínuo.

Implicações mais amplas e campanha suspeita

A análise do CERT-UA sugere que essa campanha pode se estender além das fronteiras da Ucrânia, com evidências apontando para mais de mil arquivos MSI e EXE potencialmente relacionados enviados ao pCloud desde 1º de agosto. A campanha, que se acredita ter começado em julho de 2024, foi atribuída a um agente de ameaça rastreado como UAC-0198.

O momento do ataque de phishing coincide com uma significativa ofensiva militar ucraniana na região de Kursk, levando à especulação de que esse ataque cibernético pode ser parte de uma estratégia russa mais ampla para interromper as operações do governo ucraniano.

Como remover o malware MeshAgent

Se você suspeita que seu sistema foi comprometido pelo malware MeshAgent, uma ação imediata é essencial para mitigar a ameaça. Aqui estão os passos que você pode tomar para remover o malware:

  1. Desconecte-se da rede: isole o sistema infectado para evitar mais acessos não autorizados.
  2. Identifique e encerre processos maliciosos: use o Gerenciador de Tarefas para identificar e interromper quaisquer processos suspeitos relacionados ao MeshAgent.
  3. Remover arquivos maliciosos: navegue até C:\Program Files\Mesh Agent\ e exclua o arquivo MeshAgent.exe e os diretórios associados.
  4. Limpe o Registro: Use um editor de registro para remover as seguintes chaves:
    • HKLM\System\CurrentControlSet\Services\Mesh Agent
    • HKLM\System\CurrentControlSet\Control\SafeBoot\Network\MeshAgent
    • HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\MeshUserTask
  5. Verifique se há mecanismos de persistência: verifique se nenhuma alteração não autorizada foi feita nos serviços do Windows, nas configurações do firewall ou nas tarefas agendadas.
  6. Execute uma verificação completa do sistema: use um software antivírus ou antimalware confiável para verificar todo o sistema em busca de quaisquer vestígios restantes do malware.
  7. Reconstrua o sistema se necessário: se a infecção for grave, considere restaurar o sistema a partir de um backup limpo ou executar uma reinstalação completa do sistema operacional.

Protegendo-se contra ataques futuros

Para evitar infecções futuras, certifique-se de que seus filtros de e-mail estejam atualizados para bloquear e-mails de phishing, mantenha todos os softwares atualizados e eduque os usuários sobre os perigos de clicar em links suspeitos ou baixar anexos não solicitados.

Ao permanecerem vigilantes e tomarem medidas de segurança proativas, as organizações podem proteger seus sistemas contra ameaças sofisticadas, como o malware MeshAgent.

Por Zane
August 13, 2024
Malware, Phishing
Portuguese
August 13, 2024
Malware, Phishing

Postagens Populares

O que é o arquivo OperaGXSetup.exe e ele é malicioso?

11 months atrás

Eporner.com e por que seus pop-ups excessivos são arriscados

12 days atrás

Tome nota: alguém adicionou você como golpe de e-mail de...

10 months atrás

HackTool:Win32/Crack: uma ameaça maliciosa que pode danificar...

7 months atrás

Uma ameaça potencialmente séria: Trojan:Win32/Suschil!rfn

19 days atrás

O que é a ameaça do cavalo de Tróia Packunwan e como ela pode...

11 months atrás
Portuguese
Carregando…

Detalhes e Termos do Gerenciador de Senhas do Cyclonis

Teste GRATUITO: Oferta Única de 30 Dias! Nenhum cartão de crédito será necessário para o teste gratuito. Funcionalidade completa durante o período de avaliação gratuita. (A funcionalidade completa após a Avaliação Gratuita requer a compra deaassinatura.) Para saber mais sobre nossas políticas e preços, consulte o CLUF, a Política de Privacidade, os Termos de Desconto e a Página de Compra. Se você deseja desinstalar o aplicativo, visite a página Instruções de Desinstalação.

Página Inicial

Produtos

Cyclonis Password Manager Cyclonis World Time

Suporte

Arquivos de Ajuda PFs Downloads Perguntas e Suporte

Empresa

Sobre Nos Contate-Nos Denuncie Abuso

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Política de Privacidade Política dos Cookies Special Discount Offer Terms Additional Terms & Conditions CLUF do SpyHunter CLUF do RegHunter Política de Privacidade e Política de Cookies do EnigmaSoft Política de Privacidade e Política de Cookies do ESG Termos da Oferta de Desconto do EnigmaSoft Termos da Oferta de Desconto do ESG

© 2017-2025 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows é uma marca comercial da Microsoft, registrada nos Estados Unidos e em outros países.
Mac, iPhone, iPad e App Store são marcas comerciais da Apple Inc., registradas nos Estados Unidos e em outros países.
iOS é uma marca registrada da Cisco Systems, Inc. e/ou de suas afiliadas nos Estados Unidos e em alguns outros países.
Android e Google Play são marcas comerciais da Google LLC.