Cotação de desconto para licenças múltiplas
Banco de Dados de Ameaças Redes de Bots Botnet PowMix

Botnet PowMix

Por Mezo em Redes de Bots
Traduzir Para:

Pesquisadores de cibersegurança identificaram uma campanha maliciosa em andamento que tem como alvo a força de trabalho na República Tcheca desde pelo menos dezembro de 2025. No centro dessa operação está uma botnet até então desconhecida, chamada PowMix. Essa ameaça foi projetada para burlar os mecanismos de detecção tradicionais, evitando conexões persistentes com sua infraestrutura de Comando e Controle (C2), e utilizando, em vez disso, padrões de comunicação aleatórios.

Comunicação furtiva: técnicas avançadas de evasão de C2

O PowMix utiliza métodos sofisticados para permanecer indetectável em ambientes de rede. Em vez de manter contato contínuo com seus servidores de comando e controle (C2), ele usa intervalos de sinalização aleatórios gerados por meio de comandos do PowerShell. Esses intervalos variam inicialmente de 0 a 261 segundos e, posteriormente, se estendem para entre 1.075 e 1.450 segundos, interrompendo efetivamente os padrões de tráfego previsíveis.

Além disso, a botnet incorpora dados criptografados de pulsação e identificadores únicos de vítimas diretamente nos caminhos de URL do servidor de comando e controle (C2), imitando o tráfego legítimo de APIs REST. Esse design permite que o malware se misture perfeitamente às comunicações normais da rede. A botnet também é capaz de atualizar dinamicamente seu domínio de C2 por meio de seu arquivo de configuração, garantindo a continuidade operacional mesmo em caso de mudanças na infraestrutura.

Cadeia de Infecção: Estratégia de Implantação em Múltiplos Estágios

O ataque começa com um arquivo ZIP malicioso, geralmente distribuído por meio de e-mails de phishing. Uma vez aberto, o arquivo desencadeia um processo de infecção cuidadosamente orquestrado e em várias etapas:

  • Um arquivo de atalho do Windows (LNK) inicia a execução.
  • Um carregador PowerShell extrai e descriptografa a carga útil incorporada.
  • O malware é executado diretamente na memória, minimizando os artefatos no disco.

Essa abordagem de execução sem arquivos reduz significativamente a probabilidade de detecção por ferramentas de segurança convencionais.

Capacidades e Mecanismos de Persistência

O PowMix foi projetado como uma ferramenta versátil de acesso remoto, permitindo que invasores realizem reconhecimento, executem código arbitrário e mantenham controle a longo prazo sobre sistemas comprometidos. A persistência é alcançada por meio da criação de tarefas agendadas, garantindo que o malware permaneça ativo mesmo após reinicializações do sistema.

Para manter a estabilidade operacional, o malware verifica a árvore de processos para impedir que várias instâncias sejam executadas simultaneamente no mesmo host.

Framework de Execução de Comandos: Arquitetura de Controle Flexível

A botnet suporta duas categorias principais de comandos emitidos pelo servidor C2. Seu comportamento é determinado pelo formato da resposta do servidor:

Comandos sem o prefixo '#' acionam o modo de execução arbitrário, fazendo com que o malware descriptografe e execute os payloads recebidos.

Os comandos especiais incluem:

#KILL: Inicia a autoexclusão e remove todos os vestígios de atividade maliciosa.

#HOST: Atualiza o endereço do servidor C2 da botnet para comunicação contínua.

Essa estrutura de comando flexível permite que os operadores adaptem o comportamento do malware em tempo real.

Camada de Engenharia Social: Documentos Isca como Distração

Para aumentar sua eficácia, a campanha incorpora táticas de engenharia social. As vítimas são apresentadas a documentos falsos com temas relacionados à conformidade, elaborados para parecerem legítimos. Esses documentos fazem referência a marcas conhecidas, como a Edeka, e incluem detalhes sobre remuneração, além de referências legislativas legítimas. Tais elementos visam construir confiança e enganar os alvos, principalmente candidatos a emprego, para que interajam com o conteúdo malicioso.

Sobreposição Tática: Ligações com a Campanha ZipLine

A análise revela semelhanças entre a PowMix e uma campanha previamente divulgada, conhecida como ZipLine, que teve como alvo setores de manufatura críticos para a cadeia de suprimentos em agosto de 2025. As táticas compartilhadas incluem entrega de payloads baseada em CEP, persistência por meio de tarefas agendadas e o uso da infraestrutura Heroku para operações de comando e controle (C2).

Apesar dessas sobreposições, nenhuma carga útil adicional além da própria botnet PowMix foi observada. Isso gera incertezas quanto aos objetivos finais da campanha, sugerindo que novos desenvolvimentos ou cargas úteis de segundo estágio podem surgir no futuro.

Tendendo

Mais visto

Carregando...