A campanha observada em fevereiro de 2026 usa iscas judiciais e de caridade para executar uma porta dos fundos JavaScript pelo navegador, com captura de arquivos, áudio, câmera e tela.
| Componente | Porta dos fundos JavaScript DRILLAPP executada por meio do Microsoft Edge em modo sem interface visível, com uso de recursos do navegador e do Chrome DevTools Protocol. |
| Vetor | Iscas com temas judiciais e de caridade entregam artefatos Windows, inicialmente arquivos LNK e depois módulos do Painel de Controle, que mantêm a cadeia de execução e carregam script remoto ofuscado. |
| Impacto | O malware pode acessar o sistema de arquivos, enviar e baixar arquivos, capturar áudio do microfone, imagens da webcam e imagens da tela, além de estabelecer comunicação C2 por WebSocket. |
| Prioridade | Investigar execução anômala do Microsoft Edge com parâmetros de depuração, artefatos em pastas temporárias e persistência na pasta de Inicialização do Windows em ambientes ucranianos ou relacionados. |
| Artefatos | A cadeia citada envolve LNK, HTA, módulos do Painel de Controle, script hospedado no Pastefy, navegador em modo headless, fingerprint por canvas e resolução de C2 por dead drop. |
| Atribuição | A atividade é avaliada como provavelmente ligada a atores associados à Rússia e compartilha sobreposições com campanha anterior atribuída a Laundry Bear, também rastreado como UAC-0190 ou Void Blizzard. |
Entidades ucranianas foram alvo de uma campanha de espionagem observada em fevereiro de 2026 que distribui uma porta dos fundos JavaScript chamada DRILLAPP. A operação usa temas judiciais e de caridade como isca e executa a carga por meio do Microsoft Edge, explorando permissões e recursos legítimos do navegador para reduzir atrito operacional e dificultar a distinção entre atividade de usuário e execução maliciosa. A avaliação disponível aponta provável ligação com atores associados à Rússia, mas essa atribuição deve ser tratada como uma conclusão analítica, não como prova técnica isolada.
O interesse operacional da campanha está no abuso do navegador como ambiente de execução. Em vez de depender apenas de um binário malicioso tradicional, a cadeia usa artefatos do Windows para preparar a execução e aciona o Edge em modo sem interface visível. A partir daí, scripts ofuscados controlam capacidades de acesso a arquivos, captura de áudio, webcam e tela. Esse desenho torna a telemetria de processo especialmente importante: o processo do navegador pode parecer comum, mas os parâmetros, o contexto de inicialização e a origem do script apontam para comportamento incompatível com navegação interativa normal.
A campanha compartilha sobreposições com atividade anterior contra forças de defesa ucranianas envolvendo a família PLUGGYAPE e o conjunto rastreado como Laundry Bear, UAC-0190 ou Void Blizzard. Essa relação reforça o enquadramento de espionagem, sobretudo porque as capacidades descritas priorizam coleta de informações, observação de ambiente e transferência de arquivos. Ainda assim, a matéria técnica deve separar o que é comportamento confirmado do malware do que é inferência de campanha: o contexto sustenta a presença de DRILLAPP, a execução por Edge, a comunicação C2 e a evolução entre variantes, mas não traz dados sobre volume de vítimas, exfiltração concluída ou comprometimento de redes inteiras.
Na primeira versão identificada no início de fevereiro, a cadeia usa um arquivo LNK do Windows para criar uma aplicação HTML no formato HTA dentro da pasta temporária. Esse HTA carrega um script remoto ofuscado hospedado no Pastefy, um serviço legítimo de paste usado como ponto intermediário. A persistência é estabelecida pela cópia do LNK para a pasta de Inicialização do Windows, fazendo com que o fluxo seja reativado após reinicialização do sistema. A isca exibida ao usuário envolve temas como instalação da Starlink ou a fundação ucraniana Come Back Alive, o que combina interesse regional com pretextos plausíveis para interação inicial.
Depois da preparação local, o HTML é executado pelo Microsoft Edge em modo headless. A execução inclui parâmetros que reduzem barreiras de segurança do navegador e ampliam acesso a recursos sensíveis, incluindo --no-sandbox, --disable-web-security, --allow-file-access-from-files, --use-fake-ui-for-media-stream, --auto-select-screen-capture-source=true e --disable-user-media-security. Esses parâmetros não devem ser tratados como indicadores isolados de comprometimento em todos os ambientes, mas a combinação deles, especialmente quando associada a HTA, LNK, pasta temporária e execução não interativa, forma uma cadeia de alto valor para detecção.
DRILLAPP gera um fingerprint do dispositivo por canvas fingerprinting na primeira execução e envia dados desse fingerprint junto com o país inferido a partir do fuso horário da máquina. A lógica citada verifica fusos associados a Reino Unido, Rússia, Alemanha, França, China, Japão, Estados Unidos, Brasil, Índia, Ucrânia, Canadá, Austrália, Itália, Espanha e Polônia; quando não há correspondência, o valor padrão usado é Estados Unidos. O uso de Pastefy como dead drop resolver permite buscar uma URL WebSocket para comunicação de comando e controle sem codificar diretamente toda a infraestrutura C2 no primeiro estágio.
A segunda versão, observada no fim de fevereiro de 2026, substitui arquivos LNK por módulos do Painel de Controle do Windows, mantendo a sequência geral de infecção. A porta dos fundos também evolui: passa a suportar enumeração recursiva de arquivos, upload em lote e download arbitrário de arquivos. Para contornar limitações normais do JavaScript quanto ao download remoto de arquivos, a cadeia usa o Chrome DevTools Protocol, disponível em navegadores baseados em Chromium quando a depuração remota é habilitada. O abuso do CDP é relevante porque transforma uma interface legítima de automação e depuração em canal para ações que não seriam esperadas de uma sessão comum do navegador.
A superfície primária é formada por estáções Windows de entidades ucranianas ou organizações com relação operacional com a Ucrânia, principalmente quando usuários podem abrir artefatos recebidos por iscas documentais, judiciais ou beneficentes. O componente explorado como ambiente de execução é o Microsoft Edge, mas a campanha não depende de uma vulnerabilidade informada no navegador. O risco decorre da execução controlada do navegador com parâmetros permissivos, da carga JavaScript remota e do encadeamento com artefatos Windows usados para criação, persistência e inicialização.
A presença de serviços legítimos na cadeia aumenta a dificuldade de bloqueio simples por reputação. Pastefy aparece como repositório para script remoto e como mecanismo de resolução indireta de C2. O navegador, por sua vez, é um processo comum em endpoints corporativos e naturalmente autorizado a acessar rede. A defesa precisa avaliar o contexto: Edge iniciado por HTA, módulo do Painel de Controle ou atalho em Inicialização é diferente de Edge iniciado por clique do usuário para navegação. A campanha também demonstra desenvolvimento incremental, com uma variante inicial em 28 de janeiro de 2026 comunicando-se apenas com o domínio defangado gnome[.]com, antes da versão que buscava carga principal pelo Pastefy.
- Estáções Windows com Microsoft Edge e permissão de execução de LNK, HTA ou módulos do Painel de Controle recebidos por canais de usuário.
- Ambientes onde a pasta de Inicialização do Windows não é monitorada para novos atalhos ou artefatos associados a execução de navegador.
- Endpoints em que parâmetros de depuração, captura de mídia e acesso a arquivos pelo Edge não são tratados como eventos de alto risco.
- Organizações expostas a iscas ligadas à Ucrânia, incluindo temas de suporte humanitário, infraestrutura de conectividade e documentos com aparência judicial.
A investigação deve começar pela árvore de processos. O sinal mais relevante é Microsoft Edge iniciado por processos ou artefatos incomuns, como HTA, LNK em pasta de Inicialização, módulos do Painel de Controle ou arquivos criados em diretórios temporários. Parâmetros de execução associados a headless, depuração remota, desativação de segurança web, acesso a arquivos locais e permissão automática de mídia devem ser correlacionados com o horário de criação dos artefatos e com conexões de rede para serviços de paste ou endpoints WebSocket.
Em endpoint, procure criação de HTA em pasta temporária, cópia de LNK para Inicialização, execução persistente após reboot e chamadas ao Edge sem interação visível do usuário. Em rede, o tráfego para Pastefy pode ser legítimo em alguns ambientes, por isso o valor defensivo está na combinação com user-agent, processo de origem, sequência temporal e conexões subsequentes para C2 por WebSocket. Em logs de identidade e EDR, eventos de acesso a microfone, câmera, captura de tela ou enumeração recursiva de arquivos por um navegador em contexto não interativo devem receber prioridade elevada.
A telemetria também deve diferenciar uso administrativo legítimo de CDP de abuso. Equipes de desenvolvimento e automação podem usar depuração remota, mas esse uso tende a ocorrer em hosts específicos, com processos conhecidos e janelas de execução previsíveis. A campanha descrita combina CDP com carga JavaScript remota, parâmetros de segurança reduzida e persistência de usuário. Essa combinação é mais forte do que qualquer indicador individual e ajuda a reduzir falsos positivos sem perder a cadeia técnica central.
- Microsoft Edge executado em modo headless ou com parâmetros de depuração remota fora de hosts de desenvolvimento e automação conhecidos.
- Criação de HTA em diretórios temporários seguida por carregamento de script remoto ofuscado hospedado em serviço de paste.
- Arquivos LNK adicionados à pasta de Inicialização do Windows para reativação após reinicialização.
- Execução de módulos do Painel de Controle em cadeia com navegador, rede externa e comportamento de coleta de arquivos.
- Conexões WebSocket originadas do processo do navegador após acesso a Pastefy ou a resolvedores indiretos de C2.
- Eventos de acesso a microfone, webcam ou captura de tela por Edge em sessão não interativa ou sem ação clara do usuário.
A resposta deve priorizar contenção do endpoint afetado, preservação de artefatos e reconstrução da cadeia de execução. Em um host suspeito, isole a máquina da rede operacional, colete lista de processos, parâmetros de linha de comando, artefatos em pastas temporárias, conteúdo da pasta de Inicialização e histórico de criação de arquivos LNK, HTA ou módulos do Painel de Controle. Não é necessário executar amostras para validar a intrusão; os sinais de persistência, invocação do Edge e comunicação externa já fornecem material suficiente para análise defensiva inicial.
No controle preventivo, restrinja execução de HTA e monitore uso de LNK fora de caminhos esperados. Bloqueios ou alertas para Edge com depuração remota, modo headless e parâmetros que desativam proteções do navegador devem ser aplicados com exceções documentadas para equipes que realmente usam automação. Políticas de proteção de mídia e captura de tela também devem ser avaliadas, pois a campanha depende de permissões concedidas ao navegador para acessar microfone, câmera e tela sem interação normal do usuário.
A erradicação deve remover persistência, artefatos temporários e tarefas associadas ao fluxo, seguida de varredura em hosts relacionados por indicadores comportamentais, não apenas por nomes de arquivos. Como a segunda variante adiciona enumeração recursiva e transferência em lote, revise evidências de acesso a diretórios sensíveis e possível preparação de arquivos para envio, sem assumir exfiltração se a telemetria não confirmar. Em paralelo, bloqueie ou monitore o uso indevido de serviços de paste e conexões WebSocket anômalas, mantendo regras específicas o bastante para não quebrar fluxos legítimos de negócio.
- Inventariar e alertar execuções do Microsoft Edge com
--remote-debugging-port, modo headless ou parâmetros que relaxam proteções de navegador. - Monitorar criação de LNK na pasta de Inicialização do Windows e criação de HTA em diretórios temporários por processos de usuário.
- Restringir HTA e módulos do Painel de Controle quando não houver necessidade operacional, com política de aplicação controlada.
- Correlacionar acesso a Pastefy, conexões WebSocket e execução de navegador com parâmetros incomuns antes de classificar o evento como falso positivo.
- Revisar endpoints ucranianos ou relacionados à Ucrânia para artefatos de janeiro e fevereiro de 2026, incluindo comunicação com o domínio defangado
gnome[.]comquando houver retenção histórica. - Validar se ferramentas legítimas de automação por CDP estão documentadas, limitadas a hosts esperados e separadas de estáções de usuário final.
0 Comentários