Operação de phishing usou arquivo ZIP protegido por senha, domínio semelhante ao da agência ucraniana e malware em Go com acesso remoto via WebSockets, mas a infecção confirmada foi limitada a poucos dispositivos pessoais.
| Componente | Campanha de phishing atribuída a UAC-0255 que impersonou o CERT-UA para entregar o malware AGEWHEEZE. |
| Vetor | E-mails enviados em 26 e 27 de março de 2026 com arquivo ZIP protegido por senha hospedado no Files.fm e apresentado como software especializado de proteção. |
| Impacto | AGEWHEEZE permite acesso remoto, operações sobre arquivos, captura de tela, controle de teclado e mouse, manipulação de processos e serviços, além de persistência no Windows. |
| Prioridade | Bloquear artefatos defangados associados, revisar endpoints que abriram o ZIP e procurar persistência por tarefa agendada, Registro do Windows ou pasta Startup. |
| Artefatos | CERT_UA_protection_tool.zip, domínio cert-ua[.]tech, remetente incidents at cert-ua[.]tech e comunicação externa com 54.36.237[.]92. |
| Limite de impacto | A operação foi avaliada como largamente malsucedida, com identificação de não mais do que poucos dispositivos pessoais infectados pertencentes a funcionários de instituições educacionais. |
Uma campanha de phishing explorou a confiança operacional no Computer Emergency Response Team of Ukraine ao se passar pelo próprio CERT-UA para distribuir AGEWHEEZE, uma ferramenta maliciosa de administração remota. A operação foi associada ao rastreamento UAC-0255 e ocorreu em 26 e 27 de março de 2026. O fluxo social induzia destinatários a instalar um suposto software especializado, empacotado em um ZIP protegido por senha e hospedado no serviço Files.fm. O uso de senha no arquivo comprimido reduz a eficácia de algumas inspeções automatizadas em gateway de e-mail, principalmente quando a análise de conteúdo não consegue abrir anexos protegidos ou quando a senha é comunicada no corpo da mensagem.
O conjunto de alvos descrito foi amplo: organizações estatais, centros médicos, empresas de segurança, instituições educacionais, instituições financeiras e empresas de desenvolvimento de software. Parte das mensagens usou o endereço incidents at cert-ua[.]tech, aproveitando um domínio que imita visualmente uma entidade confiável. Esse tipo de impersonação não depende de exploração técnica inicial; o ponto de entrada é a decisão do usuário de confiar na mensagem, baixar o arquivo e executar o conteúdo. Mesmo assim, o impacto potencial no endpoint é técnico e relevante, porque AGEWHEEZE fornece ao operador funções de controle remoto, coleta visual, manipulação de arquivos e manutenção de persistência.
A avaliação disponível indica que a campanha não atingiu o impacto alegado pelo operador. Embora o ator tenha afirmado ter enviado mensagens para 1 milhão de caixas ukr[.]net e comprometido mais de 200 mil dispositivos, a confirmação operacional apontou apenas poucos dispositivos pessoais infectados, pertencentes a funcionários de instituições educacionais. Essa diferença é importante para resposta a incidente: a alegação pública do adversário deve ser tratada como dado não verificado, enquanto a telemetria observada deve orientar contenção, escopo e comunicação interna.
A cadeia começa no e-mail fraudulento, que apresenta o anexo como ferramenta de proteção ligada ao CERT-UA. O arquivo CERT_UA_protection_tool.zip atua como artefato de entrega e direciona o usuário para a execução de malware disfarçado de software de segurança. A pré-condição principal é interação humana: a vítima precisa receber a mensagem, confiar no remetente ou no domínio semelhante, abrir o ZIP protegido e iniciar o conteúdo. Não há indicação, no material recebido, de exploração automática de vulnerabilidade, execução remota sem interação ou abuso de uma falha específica em cliente de e-mail.
AGEWHEEZE é descrito como malware baseado em Go e se comunica com servidor externo por WebSockets. O endereço observado foi 54.36.237[.]92, que deve ser tratado como indicador defangado para investigação, não como link ativo. O uso de WebSockets pode facilitar sessões persistentes e tráfego bidirecional entre o endpoint infectado e a infraestrutura de comando e controle, especialmente quando inspeções de rede olham apenas para conexões HTTP tradicionais sem correlação de duração, volume, destino e processo de origem.
As capacidades atribuídas ao malware incluem execução de comandos pelo operador, operações em arquivos, modificação da área de transferência, emulação de mouse e teclado, captura de telas e gerenciamento de processos e serviços. Em termos defensivos, isso equivale a uma presença interativa no endpoint, com possibilidade de observar a sessão do usuário, alterar estado local, interferir em aplicativos abertos e manter controle remoto. O contexto não sustenta afirmar exfiltração confirmada, roubo de credenciais ou movimentação lateral; essas consequências devem ser investigadas somente se logs, EDR ou artefatos locais demonstrarem atividade correspondente.
A persistência é criada por três caminhos mencionados: tarefa agendada, alteração no Registro do Windows ou cópia/atalho na pasta Startup. Esses mecanismos são comuns em malware de acesso remoto porque reiniciam o componente após logon ou reinicialização do sistema. A defesa deve correlacionar a criação desses itens com o momento de abertura do ZIP, com processos filhos incomuns do explorador de arquivos, compactadores, navegadores ou clientes de e-mail, e com conexões WebSocket para infraestrutura externa.
A superfície exposta é formada por usuários e endpoints Windows capazes de receber os e-mails, acessar Files.fm, abrir arquivos ZIP protegidos por senha e executar binários ou scripts contidos no pacote. O alvo real não se restringe a uma única vertical: a lista inclui órgãos públicos, saúde, segurança, educação, finanças e desenvolvimento de software. Esse recorte aumenta o risco de abertura por usuários acostumados a comunicações de emergência ou alertas técnicos, especialmente quando o tema é segurança cibernética e o remetente aparenta ser uma autoridade nacional.
Ambientes educacionais merecem atenção porque os dispositivos infectados confirmados foram pessoais e pertenciam a funcionários desse setor. Dispositivos pessoais usados em trabalho, mesmo quando fora do domínio corporativo, podem conter sessões autenticadas, documentos sincronizados, VPNs, clientes de e-mail ou acesso a plataformas institucionais. A resposta deve separar claramente ativo corporativo, ativo pessoal com uso profissional e conta institucional acessada a partir de equipamento não gerenciado, pois cada cenário exige coleta e contenção diferentes.
- Usuários que receberam mensagens em 26 e 27 de março de 2026 com identidade visual ou textual associada ao CERT-UA.
- Endpoints que baixaram ou abriram
CERT_UA_protection_tool.zipa partir de Files.fm. - Sistemas Windows com novas tarefas agendadas, alterações de inicialização no Registro ou novos itens na pasta Startup próximos ao recebimento da mensagem.
- Contas e dispositivos que interagiram com
cert-ua[.]tech,incidents at cert-ua[.]techou54.36.237[.]92.
A investigação deve começar pela camada de e-mail, buscando mensagens recebidas nos dias citados, remetentes com domínio semelhante ao CERT-UA e anexos ou links relacionados ao ZIP. Como o arquivo era protegido por senha, é relevante revisar se o gateway registrou falha de inspeção, classificação apenas por metadados ou liberação por política. Em seguida, a telemetria de proxy, DNS e navegador deve identificar acessos a Files.fm e ao domínio cert-ua[.]tech, sem transformar esses indicadores em links clicáveis ou permitir navegação direta durante a análise.
No endpoint, a linha do tempo é mais importante do que a simples presença de um arquivo. O time deve reconstruir download, extração, execução, criação de persistência e primeira conexão externa. Processos iniciados a partir de diretórios de usuário, temporários, Downloads ou pastas extraídas do ZIP têm valor investigativo. Também é necessário procurar conexões de longa duração ou repetidas para 54.36.237[.]92, especialmente quando originadas de um executável recém-criado ou sem assinatura confiável.
A análise do domínio falso indicou provável uso de ferramentas de inteligência artificial na geração do site, e o HTML continha o comentário em russo/ucraniano transliterado como mensagem de assinatura relacionada a CYBER SERP. Esse detalhe pode ajudar na correlação de infraestrutura e estilo operacional, mas não deve ser usado isoladamente para atribuição. O mesmo cuidado vale para a declaração pública do ator sobre volume de envio e número de dispositivos comprometidos: ela é útil como propaganda adversária observada, não como métrica confirmada de incidente.
- Mensagens com remetente
incidents at cert-ua[.]tech, assunto ou corpo sugerindo instalação de software especializado de proteção. - Downloads, extrações ou execuções do artefato
CERT_UA_protection_tool.zip. - Conexões WebSocket ou sessões persistentes para
54.36.237[.]92a partir de processos de usuário recém-criados. - Criação de tarefas agendadas, chaves de inicialização no Registro do Windows ou itens novos na pasta Startup após o recebimento do e-mail.
- Capturas de tela, manipulação de área de transferência ou eventos de controle remoto anômalos correlacionados ao processo suspeito.
A contenção deve priorizar os usuários que receberam a mensagem e os endpoints que tocaram o anexo. O primeiro passo defensivo é bloquear domínio, remetente e endereço IP defangados nos controles apropriados, preservando logs para investigação. Em máquinas com evidência de execução, a resposta deve isolar o endpoint, coletar artefatos de persistência, capturar metadados do binário suspeito e verificar conexões de rede antes da remoção. A simples exclusão do ZIP não é suficiente quando há possibilidade de persistência por tarefa agendada, Registro ou Startup.
Para e-mail e navegação, a política deve tratar arquivos comprimidos protegidos por senha como alto risco quando chegam de remetentes externos e invocam urgência operacional. Controles de sandbox que não analisam anexos cifrados devem gerar alerta explícito, e não apenas liberar a mensagem sem inspeção. No usuário final, a comunicação defensiva deve explicar que autoridades de resposta a incidentes não devem ser validadas apenas por nome exibido, domínio parecido ou linguagem de emergência; o canal oficial precisa ser conferido por rota independente.
A erradicação exige validar que não restaram mecanismos de reinicialização do malware, serviços manipulados ou processos suspeitos. Contas usadas nos dispositivos afetados devem ter sessões revogadas e credenciais rotacionadas quando houver evidência de uso em sistemas institucionais a partir da máquina comprometida. Como o contexto não confirma vazamento ou exfiltração, a rotação deve ser baseada em exposição real da conta no endpoint e não em inferência automática de roubo de dados.
- Bloquear
cert-ua[.]tech,incidents at cert-ua[.]teche54.36.237[.]92nos controles de e-mail, DNS, proxy e EDR, mantendo os valores defangados em documentação interna. - Identificar destinatários das mensagens de 26 e 27 de março de 2026 e separar quem apenas recebeu, quem baixou, quem extraiu e quem executou o conteúdo.
- Revisar tarefas agendadas, entradas de inicialização no Registro do Windows e pasta Startup em endpoints suspeitos.
- Isolar máquinas com execução confirmada de AGEWHEEZE e preservar evidências de processo, rede, arquivo e persistência antes da limpeza.
- Ajustar controles para anexos ZIP protegidos por senha e para domínios recém-observados que imitam autoridades de segurança.
0 Comentários