Mais uma vez, a engenharia social prova ser o maior vetor de ataque. E a falha, muitas vezes, não está no código, mas na operação e na falta de QA.

Pesquisadores de segurança identificaram uma nova tática do grupo LeakNet, ativo desde 2024. Eles estão usando o Deno, um ambiente de execução legítimo para JavaScript, para rodar código malicioso diretamente na memória de redes corporativas. Isso dificulta a detecção e deixa equipes de infraestrutura em pânico, com uma média de três vítimas por mês.

A Engenharia Social que Quebra a Infra: ClickFix em Ação

O ponto de entrada para esses ataques do LeakNet é uma técnica batizada de ClickFix. Basicamente, é uma gambiarra de engenharia social clássica, focada em manipular o usuário final.

Não há exploração de vulnerabilidades zero-day aqui, apenas a boa e velha manipulação humana. A vítima é induzida a acreditar que está vendo um erro ou uma atualização crítica.

Ela recebe instruções para copiar e colar um comando diretamente no terminal do próprio computador. É o equivalente a dar a chave do servidor para o servidor, sem nem perceber.

Outros grupos como Termite e Interlock já usavam essa mesma abordagem. Isso mostra que, por mais que a gente invista em firewalls e IDS, o elo mais fraco continua sendo o usuário.

É um cenário de pesadelo para qualquer sysadmin ou devops. A segurança da rede é comprometida por um clique desavisado, e a culpa recai sobre a falta de treinamento ou a pressa do dia a dia.

Deno: O Runtime Legítimo Que Virou Cavalo de Troia na Memória

Após o comando ser executado pela vítima, dois scripts são acionados na máquina. Um é um PowerShell (.ps1), batizado de "Romeo", e o outro é um VBScript (.vbs), o "Juliet".

Esses scripts têm uma missão clara: instalar o Deno. Para quem não conhece, Deno é um runtime de código aberto para JavaScript e TypeScript, legítimo e assinado digitalmente.

E é aí que mora a ironia e a genialidade da falha de arquitetura. O sistema operacional e os antivírus veem o Deno como uma aplicação confiável, um binário limpo.

O LeakNet não precisa desenvolver um malware complexo e facilmente detectável. Eles simplesmente "trazem seu próprio ambiente de execução" – a estratégia que a ReliaQuest chamou de BYOR.

É como usar um martelo para pregar um quadro, mas depois usar o mesmo martelo para quebrar a parede. A ferramenta é legítima, mas o uso é malicioso e totalmente fora do escopo.

Execução Fantasma: O Código Que Não Deixa Rastro no Disco

O código malicioso, então, é executado diretamente na memória do sistema. Ele nunca é salvo no disco rígido, o que chamamos de execução in-memory.

A maioria das ferramentas de segurança, especialmente os antivírus legados, foca na análise de arquivos em disco. Se o payload nunca toca o disco, ele simplesmente passa despercebido.

Para o sistema, a atividade parece uma tarefa comum de desenvolvimento, um dev rodando algo no Deno. Isso reduz drasticamente as chances de detecção por heurísticas tradicionais.

É uma tática que explora a confiança e a cegueira de sistemas de segurança antigos. Uma verdadeira dor de cabeça para quem precisa monitorar a integridade dos endpoints.

Pós-Exploração: Fingerprinting, C2 e a Busca Pelo Payload Final

Assim que o código começa a rodar, a primeira coisa que ele faz é coletar informações sobre o computador da vítima. Esse processo é o famoso "fingerprinting do host".

Com base nesses dados, o malware gera um identificador único para aquela máquina comprometida. É como um RG digital para o alvo, essencial para o controle dos atacantes.

Em seguida, o malware estabelece conexão com o servidor de Comando e Controle, o C2. Esse servidor é a central de operações dos atacantes, de onde as instruções são enviadas.

O malware entra em um ciclo constante de consulta ao C2, aguardando novas diretrizes. Ao mesmo tempo, ele busca o payload de segundo estágio, a parte mais destrutiva do ataque.

Essa fase é crítica, pois é onde o atacante decide o próximo passo. Pode ser a instalação de um backdoor, a exfiltração de dados ou o deploy final do ransomware.

Escalada Silenciosa: DLL Sideloading e Movimento Lateral na Rede

Com acesso estabelecido, o LeakNet não para por aí. Eles buscam ampliar o controle sobre a rede da vítima, usando técnicas que exploram a confiança de processos legítimos.

Uma das táticas é o DLL sideloading. Eles inserem uma DLL maliciosa em um local onde um programa legítimo, como o Java, vai carregá-la sem perceber, achando que é uma DLL válida.

O arquivo em questão é o "jli.dll", encontrado em um diretório obscuro como "USOShared" dentro de "ProgramData". É uma gambiarra clássica para persistência e elevação de privilégios.

Além disso, usam a ferramenta "klist" para mapear credenciais de acesso dentro da rede corporativa. É o passo essencial para se mover lateralmente, como um fantasma na infraestrutura.

Com as credenciais em mãos, eles se movem de computador em computador usando o PsExec. Essa é uma ferramenta legítima da Microsoft, mas nas mãos do LeakNet, vira uma arma de deploy remoto.

É a prova de que ferramentas de administração poderosas podem ser abusadas. A falta de monitoramento granular sobre o uso dessas ferramentas é um convite ao desastre.

Exfiltração na Nuvem: Dados Vazados Via Amazon S3 Antes do Ransomware

Antes de ativar o ransomware e criptografar tudo, o LeakNet tem um passo crucial: roubar uma cópia de todos os dados da vítima. É a famosa exfiltração de dados.

Para isso, eles usam buckets do Amazon S3, que são espaços de armazenamento em nuvem da AWS. Uma escolha inteligente, pois o tráfego para servidores da Amazon é comum em redes corporativas.

Essa normalidade do tráfego ajuda a etapa de exfiltração a passar despercebida pelos sistemas de monitoramento de rede. É um ataque que se camufla no dia a dia da empresa.

O impacto é duplo: além de ter os dados criptografados, a vítima ainda sofre com o vazamento. É a chantagem perfeita, garantindo que o pagamento seja quase inevitável.

Isso mostra uma arquitetura de ataque bem pensada, com foco em maximizar o dano e a pressão sobre a vítima. Não é um ataque de script kiddie, é coisa de gente que entende de infra.

Sinais Vitais da Rede: Como Detectar o Inimigo Interno Antes do Desastre

Apesar de toda a sofisticação, a cadeia de ataque do LeakNet segue uma sequência previsível. Isso, felizmente, abre algumas janelas de oportunidade para as equipes de segurança.

É crucial que os times de QA e monitoramento fiquem atentos a anomalias. Não é um bug no código, mas um bug na operação que precisa ser pego.

Monitorar esses "sinais vitais" da rede é a única forma de pegar esses caras antes que o deploy do ransomware seja feito e a empresa vá a zero.

A sofisticação do LeakNet exige uma reavaliação urgente das estratégias de segurança e monitoramento de infraestrutura, focando na detecção de anomalias comportamentais.