{"id":23545,"date":"2025-11-24T08:00:00","date_gmt":"2025-11-24T11:00:00","guid":{"rendered":"https:\/\/www.ethicalhacker.com.br\/site\/?p=23545"},"modified":"2025-11-21T21:32:23","modified_gmt":"2025-11-22T00:32:23","slug":"google-revela-tres-novas-familias-de-malware","status":"publish","type":"post","link":"https:\/\/www.ethicalhacker.com.br\/site\/2025\/11\/exploits\/google-revela-tres-novas-familias-de-malware\/","title":{"rendered":"Google revela tr\u00eas novas fam\u00edlias de malware"},"content":{"rendered":"\n<p class=\"sr-only\" style=\"text-align: justify;\"><strong style=\"font-size: revert; color: initial;\" data-start=\"0\" data-end=\"99\">Amea\u00e7a em evolu\u00e7\u00e3o: Google revela tr\u00eas novas fam\u00edlias de malware russas vinculadas ao COLDRIVER<\/strong><\/p>\n<div class=\"text-base my-auto mx-auto pb-10 [--thread-content-margin:--spacing(4)] thread-sm:[--thread-content-margin:--spacing(6)] thread-lg:[--thread-content-margin:--spacing(16)] px-(--thread-content-margin)\">\n<div class=\"[--thread-content-max-width:40rem] thread-lg:[--thread-content-max-width:48rem] mx-auto max-w-(--thread-content-max-width) flex-1 group\/turn-messages focus-visible:outline-hidden relative flex w-full min-w-0 flex-col agent-turn\" tabindex=\"-1\">\n<div class=\"flex max-w-full flex-col grow\">\n<div class=\"min-h-8 text-message relative flex w-full flex-col items-end gap-2 text-start break-words whitespace-normal [.text-message+&amp;]:mt-1\" dir=\"auto\" data-message-author-role=\"assistant\" data-message-id=\"f808e506-057f-4e9c-ad28-b2991d0849de\" data-message-model-slug=\"gpt-5-1\">\n<div class=\"flex w-full flex-col gap-1 empty:hidden first:pt-[1px]\">\n<div class=\"markdown prose dark:prose-invert w-full break-words light markdown-new-styling\">\n<p style=\"text-align: justify;\" data-start=\"0\" data-end=\"796\">A Google Threat Intelligence Group (GTIG) divulgou recentemente uma descoberta alarmante: tr\u00eas novas fam\u00edlias de malware ligadas ao grupo russo <strong data-start=\"246\" data-end=\"259\">COLDRIVER<\/strong> (tamb\u00e9m conhecido pelas siglas UNC4057, Star Blizzard e Callisto). Segundo a an\u00e1lise, essas cepas come\u00e7aram a ser usadas poucos dias ap\u00f3s a exposi\u00e7\u00e3o p\u00fablica de uma antiga ferramenta da mesma amea\u00e7a, chamada <em data-start=\"468\" data-end=\"478\">LOSTKEYS<\/em>.<\/p>\n<p style=\"text-align: justify;\" data-start=\"0\" data-end=\"796\">De acordo com o blog oficial da Google, essa r\u00e1pida \u201creformula\u00e7\u00e3o\u201d da linha de ataque indica n\u00e3o apenas a resili\u00eancia operacional do COLDRIVER, mas um aumento substancial do ritmo de desenvolvimento (\u201coperations tempo\u201d) de suas campanhas.<\/p>\n<p data-start=\"0\" data-end=\"796\">\u00a0<\/p>\n<p style=\"text-align: justify;\" data-start=\"798\" data-end=\"1581\"><strong data-start=\"798\" data-end=\"863\">Contextualizando o COLDRIVER: quem s\u00e3o e por que isso importa<\/strong><\/p>\n<p style=\"text-align: justify;\" data-start=\"798\" data-end=\"1581\">O COLDRIVER \u00e9 um grupo patrocinado por Estado russo e tem hist\u00f3rico de campanhas de phishing direcionado que visam indiv\u00edduos influentes, como membros de organiza\u00e7\u00f5es n\u00e3o-governamentais, conselheiros de pol\u00edticas, oficiais militares e diplom\u00e1ticos.  Em relat\u00f3rio anterior, a Google j\u00e1 havia identificado o uso de sua ferramenta <em data-start=\"1231\" data-end=\"1241\">LOSTKEYS<\/em>, respons\u00e1vel por exfiltrar arquivos sens\u00edveis e informa\u00e7\u00f5es de sistema.<\/p>\n<p style=\"text-align: justify;\" data-start=\"798\" data-end=\"1581\">Agora, entretanto, a GTIG observa que o COLDRIVER mudou sua estrat\u00e9gia: em vez de apenas phishing, ele agora usa malware altamente sofisticado, aproveitando uma nova cadeia de entrega, com m\u00faltiplas fam\u00edlias inter-relacionadas.<\/p>\n<p data-start=\"798\" data-end=\"1581\">\u00a0<\/p>\n<p style=\"text-align: justify;\" data-start=\"1583\" data-end=\"1733\"><strong data-start=\"1583\" data-end=\"1620\">As tr\u00eas novas fam\u00edlias de malware<\/strong><\/p>\n<p style=\"text-align: justify;\" data-start=\"1583\" data-end=\"1733\">No centro da descoberta da Google est\u00e3o tr\u00eas novas fam\u00edlias que foram desenvolvidas e implantadas rapidamente:<\/p>\n<ul style=\"text-align: justify;\" data-start=\"1735\" data-end=\"2974\">\n<li data-start=\"1735\" data-end=\"2119\">\n<p data-start=\"1738\" data-end=\"2119\"><strong data-start=\"1738\" data-end=\"1749\">NOROBOT<\/strong> \u2013 Um componente principal da nova cadeia de ataque. A Google observou que ele \u00e9 entregue por meio de um <em data-start=\"1854\" data-end=\"1860\">lure<\/em> (isca) chamado \u201cClickFix\u201d, que simula um CAPTCHA personalizado. Ao inv\u00e9s de usar PowerShell como no <em data-start=\"1961\" data-end=\"1971\">LOSTKEYS<\/em>, o novo processo executa uma DLL maliciosa via <code data-start=\"2019\" data-end=\"2029\">rundll32<\/code>, o que mostra uma mudan\u00e7a na t\u00e9cnica de execu\u00e7\u00e3o.<\/p>\n<\/li>\n<li data-start=\"2120\" data-end=\"2533\">\n<p data-start=\"2123\" data-end=\"2533\"><strong data-start=\"2123\" data-end=\"2135\">YESROBOT<\/strong> e <strong data-start=\"2138\" data-end=\"2152\">MAYBEROBOT<\/strong> \u2013 S\u00e3o variantes que complementam a cadeia de entrega, com diferentes fun\u00e7\u00f5es e formas de evas\u00e3o. Elas foram projetadas para operar de forma s\u00edncrona, compartilhando infraestrutura de comando e controle e componentes de comunica\u00e7\u00e3o criptografada, o que torna mais dif\u00edcil para defensores dissociar exatamente onde cada variante est\u00e1 atuando.<\/p>\n<\/li>\n<li data-start=\"2534\" data-end=\"2974\">\n<p data-start=\"2537\" data-end=\"2974\"><strong data-start=\"2537\" data-end=\"2578\">Arquitetura de execu\u00e7\u00e3o e comunica\u00e7\u00e3o<\/strong> \u2013 As novas fam\u00edlias usam DLLs compactas e leves, evitando chamadas consp\u00edcuas. A comunica\u00e7\u00e3o com o servidor de controle (C2) \u00e9 feita de forma segura, utilizando criptografia para proteger os dados exfiltrados. Al\u00e9m disso, todo o ciclo de vida do malware \u2014 desde a entrega at\u00e9 a exfiltra\u00e7\u00e3o \u2014 demonstra um refinamento t\u00e9cnico comparado \u00e0s vers\u00f5es anteriores.<\/p>\n<\/li>\n<\/ul>\n<p>\u00a0<\/p>\n<p style=\"text-align: justify;\" data-start=\"2976\" data-end=\"3132\"><strong data-start=\"2976\" data-end=\"3011\">Implica\u00e7\u00f5es para ciberseguran\u00e7a<\/strong><\/p>\n<p style=\"text-align: justify;\" data-start=\"2976\" data-end=\"3132\">A revela\u00e7\u00e3o da GTIG levanta v\u00e1rias preocupa\u00e7\u00f5es estrat\u00e9gicas para organiza\u00e7\u00f5es, governos e profissionais de seguran\u00e7a:<\/p>\n<ul style=\"text-align: justify;\" data-start=\"3134\" data-end=\"4175\">\n<li data-start=\"3134\" data-end=\"3402\">\n<p data-start=\"3136\" data-end=\"3402\"><strong data-start=\"3136\" data-end=\"3163\">Aumento de sofistica\u00e7\u00e3o<\/strong>: A capacidade do COLDRIVER de alterar rapidamente sua \u201cferramentaria\u201d (toolset) sugere um alto n\u00edvel de maturidade e investimento em desenvolvimento. Isso dificulta a detec\u00e7\u00e3o por defensores que dependem apenas de assinaturas est\u00e1ticas.<\/p>\n<\/li>\n<li data-start=\"3403\" data-end=\"3628\">\n<p data-start=\"3405\" data-end=\"3628\"><strong data-start=\"3405\" data-end=\"3435\">Persist\u00eancia e resili\u00eancia<\/strong>: A r\u00e1pida substitui\u00e7\u00e3o do <em data-start=\"3462\" data-end=\"3472\">LOSTKEYS<\/em> por novas fam\u00edlias de malware indica que o COLDRIVER possui planejamento de longo prazo, com m\u00faltiplos vetores de ataque j\u00e1 preparados para uso imediato.<\/p>\n<\/li>\n<li data-start=\"3629\" data-end=\"3901\">\n<p data-start=\"3631\" data-end=\"3901\"><strong data-start=\"3631\" data-end=\"3657\">Espionagem estrat\u00e9gica<\/strong>: O perfil de atua\u00e7\u00e3o do COLDRIVER \u2014 voltado para espionagem e coleta de intelig\u00eancia de alto valor \u2014 sugere que os alvos dessas novas campanhas podem incluir entidades governamentais, organiza\u00e7\u00f5es de pol\u00edticas p\u00fablicas e atores estrat\u00e9gicos.<\/p>\n<\/li>\n<li data-start=\"3902\" data-end=\"4175\">\n<p data-start=\"3904\" data-end=\"4175\"><strong data-start=\"3904\" data-end=\"3946\">Dificuldades de atribui\u00e7\u00e3o e mitiga\u00e7\u00e3o<\/strong>: Com novas variantes e infraestrutura evolu\u00edda, as equipes de defesa precisam adaptar suas estrat\u00e9gias de detec\u00e7\u00e3o. Isso inclui a cria\u00e7\u00e3o de novos indicadores de compromisso (IoCs), an\u00e1lises comportamentais e huntings proativos.<\/p>\n<\/li>\n<\/ul>\n<p>\u00a0<\/p>\n<p style=\"text-align: justify;\" data-start=\"4177\" data-end=\"4323\"><strong data-start=\"4177\" data-end=\"4206\">Recomenda\u00e7\u00f5es para defesa<\/strong><\/p>\n<p style=\"text-align: justify;\" data-start=\"4177\" data-end=\"4323\">Para mitigar o risco dessas novas cepas de malware, analistas de ciberseguran\u00e7a podem adotar as seguintes medidas:<\/p>\n<ul style=\"text-align: justify;\" data-start=\"4325\" data-end=\"5350\">\n<li data-start=\"4325\" data-end=\"4550\">\n<p data-start=\"4327\" data-end=\"4550\"><strong data-start=\"4327\" data-end=\"4388\">Monitoramento de TTPs (T\u00e1ticas, T\u00e9cnicas e Procedimentos)<\/strong>: Implementar huntings com foco nas novas cadeias de execu\u00e7\u00e3o identificadas pela Google, como DLLs invocadas por <code data-start=\"4501\" data-end=\"4511\">rundll32<\/code> ap\u00f3s supostas intera\u00e7\u00f5es de CAPTCHA.<\/p>\n<\/li>\n<li data-start=\"4551\" data-end=\"4744\">\n<p data-start=\"4553\" data-end=\"4744\"><strong data-start=\"4553\" data-end=\"4579\">Defesa em profundidade<\/strong>: Utilizar m\u00faltiplas camadas de seguran\u00e7a, incluindo prote\u00e7\u00e3o de endpoint, firewall, an\u00e1lise de tr\u00e1fego, e solu\u00e7\u00f5es de EDR\/XDR para detectar comportamento an\u00f4malo.<\/p>\n<\/li>\n<li data-start=\"4745\" data-end=\"4926\">\n<p data-start=\"4747\" data-end=\"4926\"><strong data-start=\"4747\" data-end=\"4770\">Segmenta\u00e7\u00e3o de rede<\/strong>: Isolar sistemas cr\u00edticos, especialmente aqueles que podem receber a carga inicial do malware, e restringir privil\u00e9gios para execu\u00e7\u00e3o de c\u00f3digo din\u00e2mico.<\/p>\n<\/li>\n<li data-start=\"4927\" data-end=\"5148\">\n<p data-start=\"4929\" data-end=\"5148\"><strong data-start=\"4929\" data-end=\"4962\">Intelig\u00eancia de amea\u00e7as ativa<\/strong>: Assinar feeds de amea\u00e7as que incluam IoCs relacionados ao COLDRIVER e suas novas fam\u00edlias, e colaborar com comunidades de threat intelligence para acompanhar a evolu\u00e7\u00e3o dessas cepas.<\/p>\n<\/li>\n<li data-start=\"5149\" data-end=\"5350\">\n<p data-start=\"5151\" data-end=\"5350\"><strong data-start=\"5151\" data-end=\"5190\">Resposta a incidentes e resili\u00eancia<\/strong>: Preparar playbooks de resposta para casos em que a execu\u00e7\u00e3o de DLLs maliciosas seja detectada, garantindo isolamento r\u00e1pido, coleta de evid\u00eancias e conten\u00e7\u00e3o.<\/p>\n<\/li>\n<\/ul>\n<p>\u00a0<\/p>\n<p style=\"text-align: justify;\" data-start=\"5352\" data-end=\"6063\"><strong data-start=\"5352\" data-end=\"5365\">Conclus\u00e3o<\/strong><\/p>\n<p style=\"text-align: justify;\" data-start=\"5352\" data-end=\"6063\">A identifica\u00e7\u00e3o de tr\u00eas novas fam\u00edlias de malware ligadas ao COLDRIVER representa um momento cr\u00edtico no panorama da ciberespionagem patrocinada por Estado. A r\u00e1pida adapta\u00e7\u00e3o e evolu\u00e7\u00e3o t\u00e9cnica desse grupo mostram que ele est\u00e1 longe de ser \u201cqueimado\u201d ou contido \u2014 pelo contr\u00e1rio, est\u00e1 se renovando com vigor. Para profissionais de seguran\u00e7a, isso refor\u00e7a a necessidade de uma postura proativa e adaptativa: n\u00e3o basta reagir \u00e0s amea\u00e7as conhecidas, \u00e9 preciso antecipar novos vetores, descobrir novos malwares e manter a vigil\u00e2ncia constante sobre atores estrat\u00e9gicos. A guerra cibern\u00e9tica patrocinada por na\u00e7\u00f5es continua se tornando mais complexa, e nossa defesa precisa evoluir na mesma cad\u00eancia.<\/p>\n<p data-start=\"5352\" data-end=\"6063\">\u00a0<\/p>\n<p data-start=\"6065\" data-end=\"6660\"><strong data-start=\"6065\" data-end=\"6095\">Refer\u00eancias bibliogr\u00e1ficas<\/strong><\/p>\n<p data-start=\"6065\" data-end=\"6660\"><strong>Google Threat Intelligence Group.<\/strong> <em data-start=\"6132\" data-end=\"6222\">To Be (A Robot) or Not to Be: New Malware Attributed to Russia State-Sponsored COLDRIVER<\/em>. Google Cloud Blog,\u00a0 2025. Dispon\u00edvel em: <a class=\"decorated-link\" href=\"https:\/\/cloud.google.com\/blog\/topics\/threat-intelligence\/new-malware-russia-coldriver?utm_source=chatgpt.com\" target=\"_blank\" rel=\"noopener\" data-start=\"6271\" data-end=\"6356\">https:\/\/cloud.google.com\/blog\/topics\/threat-intelligence\/new-malware-russia-coldriver<\/a> <span class=\"\" data-state=\"closed\"><span class=\"ms-1 inline-flex max-w-full items-center relative top-[-0.094rem] animate-[show_150ms_ease-in]\" data-testid=\"webpage-citation-pill\"><a class=\"flex h-4.5 overflow-hidden rounded-xl px-2 text-[9px] font-medium transition-colors duration-150 ease-in-out text-token-text-secondary! bg-[#F4F4F4]! dark:bg-[#303030]!\" href=\"https:\/\/cloud.google.com\/blog\/topics\/threat-intelligence\/new-malware-russia-coldriver?utm_source=chatgpt.com\" target=\"_blank\" rel=\"noopener\"><span class=\"relative start-0 bottom-0 flex h-full w-full items-center\"><span class=\"flex h-4 w-full items-center justify-between overflow-hidden\"><span class=\"max-w-[15ch] grow truncate overflow-hidden text-center\">Google Cloud<\/span><\/span><\/span><\/a><\/span><\/span><\/p>\n<p data-start=\"6065\" data-end=\"6660\"><strong>Lakshmanan, Ravie.<\/strong> \u201cGoogle Identifies Three New Russian Malware Families Created by COLDRIVER Hackers.\u201d <em data-start=\"6501\" data-end=\"6518\">The Hacker News<\/em>, 2025. Dispon\u00edvel em: <a class=\"decorated-link\" href=\"https:\/\/thehackernews.com\/2025\/10\/google-identifies-three-new-russian.html?utm_source=chatgpt.com\" target=\"_blank\" rel=\"noopener\" data-start=\"6548\" data-end=\"6622\">https:\/\/thehackernews.com\/2025\/10\/google-identifies-three-new-russian.html<\/a><\/p>\n<\/div>\n<\/div>\n<\/div>\n<\/div>\n<\/div>\n<\/div>\n\n\n","protected":false},"excerpt":{"rendered":"<p>Amea\u00e7a em evolu\u00e7\u00e3o: Google revela tr\u00eas novas fam\u00edlias de malware russas vinculadas ao COLDRIVER A Google Threat Intelligence Group (GTIG) divulgou recentemente uma descoberta alarmante: tr\u00eas novas fam\u00edlias de malware ligadas ao grupo russo COLDRIVER (tamb\u00e9m conhecido pelas siglas UNC4057, Star Blizzard e Callisto). Segundo a an\u00e1lise, essas cepas come\u00e7aram a ser usadas poucos dias [&hellip;]<\/p>\n","protected":false},"author":2,"featured_media":23547,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[89,100,21,105],"tags":[],"class_list":["post-23545","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-basico","category-diversos","category-exploits","category-noticias"],"_links":{"self":[{"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/posts\/23545","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/comments?post=23545"}],"version-history":[{"count":2,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/posts\/23545\/revisions"}],"predecessor-version":[{"id":23548,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/posts\/23545\/revisions\/23548"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/media\/23547"}],"wp:attachment":[{"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/media?parent=23545"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/categories?post=23545"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/tags?post=23545"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}