.png)
há 5 dias
11
A campanha Operation Silk Lure, identificada em meados de 2025, tem explorado o Agendador de Tarefas do Windows para disseminar uma nova variante do trojan ValleyRAT, mirando especialmente equipes de RH de fintechs e empresas de trading chinesas. O ataque começa com um e-mail de spear-phishing contendo um atalho (.lnk) malicioso, apresentado como currículo de candidato; ao ser aberto, aciona um comando PowerShell oculto que baixa um documento isca e dois executáveis: loader (keytool.exe) e DLL para side-loading (jli.dll).
Leia também
Cloud no Brasil reduz custos e garante repatriação dos dados
Fortra confirma ataques em falha de máxima gravidade no GoAnywhere
A cadeia de infecção envolve a criação de um arquivo .vbs, o CreateHiddenTask.vbs, que registra uma tarefa agendada diária chamada “Security”, simulando autoria da Microsoft Corporation. Isso garante execução persistente do loader todo dia às 8h, mesmo após reinicialização, dificultando a detecção.
O loader utiliza o side-loading da DLL jli.dll, que, por sua vez, extrai uma payload criptografada, decripta por RC4 e injeta o shellcode diretamente na memória, ativando contato com o servidor dos invasores para coleta de dados e exfiltração. O ValleyRAT coleta informações detalhadas do sistema, executa movimentos de evasão, encerra conexões de antivírus conhecidos (como 360Safe e Kingsoft), e envia logs e dados via HTTPS para dificultar interceptação.
O ataque se destaca pela sofisticação no uso de persistência com tarefas agendadas, execução em memória e DLL side-loading, exigindo das empresas monitoramento rigoroso das tarefas agendadas, hunting proativo e assinaturas atualizadas para detectar comportamentos anômalos correlacionados à campanha de espionagem.
English (US) · 
Portuguese (BR) ·