Notícias Tech

Ransomware King dribla segurança usando máquinas virtuais QEMU

há 2 horas
0 2 minutos de leitura
Ransomware King dribla segurança usando máquinas virtuais QEMU
Resumo da notícia:

Pesquisadores de cibersegurança identificaram que o ransomware Payouts King está utilizando o emulador QEMU como backdoor SSH reverso para executar máquinas virtuais ocultas em sistemas comprometidos, dificultando a detecção por soluções de segurança tradicionais. O QEMU, ferramenta de virtualização de código aberto, permite que os atacantes rodem sistemas operacionais isolados dentro do ambiente da vítima, tornando possível executar cargas maliciosas, armazenar arquivos ilícitos e criar túneis remotos encobertos via SSH sem serem identificados pelo antivírus do host.

Segundo análise da Sophos, duas campanhas recentes exploraram essa técnica. Na primeira, rastreada como STAC4713 e associada ao grupo GOLD ENCOUNTER, os criminosos criam tarefas agendadas para lançar VMs Alpine Linux disfarçadas, equipadas com ferramentas como AdaptixC2, Chisel e Rclone. O acesso inicial foi obtido por meio de vulnerabilidades em VPNs SonicWall e SolarWinds Web Help Desk, e posteriormente com abuso de VPNs Cisco SSL e engenharia social via Microsoft Teams para induzir funcionários a instalar o QuickAssist.

Após a infecção, os atacantes utilizam comandos para copiar arquivos críticos do sistema, como NTDS.dit e hives do Windows, e empregam técnicas de sideloading para executar payloads de comando e controle, além de exfiltrar dados para servidores remotos. O ransomware implementa criptografia AES-256 combinada com RSA-4096 e utiliza mecanismos avançados de ofuscação e evasão, incluindo a finalização de ferramentas de segurança por chamadas de sistema de baixo nível.

A segunda campanha, STAC3725, explora a vulnerabilidade CitrixBleed 2 em dispositivos NetScaler, instalando serviços maliciosos e clientes de acesso remoto para persistência. Dentro das VMs, os atacantes compilam manualmente ferramentas de movimentação lateral e coleta de credenciais, como Impacket e Metasploit, reforçando a complexidade e o sigilo das operações.

A recomendação dos especialistas é monitorar atentamente instalações não autorizadas do QEMU, tarefas agendadas suspeitas com privilégios elevados e atividades incomuns de tunelamento SSH, pois essas técnicas representam um avanço significativo na capacidade de ocultação e persistência de ameaças em ambientes corporativos.

Fonte original: www.bleepingcomputer.com

Acessar publicação original

Resumo editorial criado automaticamente pela Eletrônica Americana com base em fontes internacionais públicas, com finalidade informativa.

Além de se manter informado, você pode aprofundar seus conhecimentos em nossos guias de compra, onde comparamos as melhores opções do mercado para facilitar sua escolha. Para uma análise técnica, confira nossas reviews completas com testes reais de desempenho. E se você está em busca do melhor preço, não deixe de acompanhar nossa seleção de ofertas e descontos atualizados diariamente nas principais lojas.

há 2 horas
0 2 minutos de leitura
Foto de Eletrônica Americana

Eletrônica Americana

Artigos relacionados

Cientistas identificam dieta capaz de estimular queima de gordura sem exercício

Cientistas identificam dieta capaz de estimular queima de gordura sem exercício

fevereiro 28, 2026
Grupo Silver Fox mira usuários indianos com e-mails falsos sobre impostos que disseminam malware ValleyRAT

Grupo Silver Fox mira usuários indianos com e-mails falsos sobre impostos que disseminam malware ValleyRAT

dezembro 30, 2025
Perua participará de uma das mais desafiadoras corridas de 24 horas

Perua participará de uma das mais desafiadoras corridas de 24 horas

março 18, 2026
Microsoft desiste de limitar envio em massa de e-mails no Exchange Online

Microsoft desiste de limitar envio em massa de e-mails no Exchange Online

janeiro 6, 2026
💬