Redação YTI&W-News
Ator Suspeito de Origem Russa é Associado a Ataques com Malware CANFAIL
Um ator de ameaças até então não documentado foi atribuído a ataques que visavam organizações ucranianas com malware conhecido como CANFAIL. O Google Threat Intelligence Group (GTIG) descreveu o grupo de hack como possivelmente afiliado a serviços de inteligência russos.
O ator de ameaças é avaliado ter alvoado organizações de defesa, militar, governo e energia dentro dos governos regionais e nacionais ucranianos. No entanto, o grupo também demonstrou crescente interesse em organizações aeroespaciais, empresas de manufatura com vínculos militares e drones, organizações de pesquisa nuclear e química, e organizações internacionais envolvidas na monitorização de conflitos e ajuda humanitária na Ucrânia, acrescentou o GTIG.
Apesar de ser menos sofisticado e bem equipado do que outros grupos de ameaças russos, o ator de ameaças recentemente começou a superar algumas limitações técnicas usando modelos de linguagem de grande escala (LLMs).
Por meio de prompt, eles realizam reconhecimento, criam lures para engenharia social e buscam respostas a questões técnicas básicas para atividade pós-comprometimento e configuração de infraestrutura de controle remoto (C2).
Campanhas de Phishing
- O grupo de ameaças recentemente realizou campanhas de phishing, onde se passou por organizações de energia nacionais e locais ucranianas para obter acesso não autorizado a contas de e-mail organizacionais e pessoais.
- O grupo também se passou por uma empresa de energia romena que trabalha com clientes na Ucrânia, além de alvoar uma empresa romena e realizar reconhecimento em organizações moldavas.
Malware CANFAIL
O malware CANFAIL é um JavaScript obfuscado que é projetado para executar um script do PowerShell que, por sua vez, baixa e executa um dropper de PowerShell de memória apenas. Além disso, ele exibe uma mensagem de erro falsa para o vítima.
Para habilitar suas operações, o ator de ameaças gera listas de endereços de e-mail adaptadas a regiões e indústrias específicas com base em suas pesquisas.
As cadeias de ataque parecem conter lures gerados por LLM e links do Google Drive apontando para um arquivo RAR contendo o malware CANFAIL.
Normalmente, o CANFAIL é disfarçado com uma extensão dupla para passar como um documento PDF (*.pdf.js).
Campanha PhantomCaptcha
O ator de ameaças também está ligado a uma campanha chamada PhantomCaptcha que foi divulgada pelo SentinelOne SentinelLABS em outubro de 2025 e visava organizações associadas aos esforços de ajuda humanitária da Ucrânia por meio de e-mails de phishing que direcionavam os destinatários a páginas falsas que hospedavam instruções do tipo ClickFix para ativar a sequência de infecção e entregar um trojan baseado em WebSocket.
Fontes: The Hacker News. Curadoria e Insights: Redação YTI&W.
Redação YTI&W-News
Cobertura das últimas notícias do universo da Segurança da Informação e lançamentos de soluções em TI.
- Vulnerabilidades Críticas: Exploitação de CVE-2026-1731 e Adições ao Catálogo de Vulnerabilidades Exploradas 13 de Fevereiro, 2026
- Google Relata que Estado-Sustentados Hackers Usam Técnicas de Inteligência Artificial para Ataques Cibernéticos 12 de Fevereiro, 2026
- Avaliação Técnica: 83% dos Exploits de Ivanti EPMM Vêm de uma Única IP 12 de Fevereiro, 2026
- Dossiê Técnico: Primeiro Adicionais Maliciosos do Outlook Detectados no Mundo 11 de Fevereiro, 2026
- APT36 e SideCopy Lançam Campanhas Cruzadas para Comprometer Ambientes Windows e Linux 11 de Fevereiro, 2026
