Pesquisadores de segurança identificaram uma nova técnica utilizada pelo grupo LeakNet para invadir redes corporativas. O grupo instala o Deno, um ambiente de execução legítimo para JavaScript, e o utiliza para executar código malicioso diretamente na memória do sistema.
- Leia também: Phishing Moderno: Como Escalar a Detecção no SOC e Evitar Roubo de Credenciais
- Leia também: Firewall de Nuvem vs Firewall Tradicional: Entenda as Diferenças
- Leia também: Nuvem Híbrida: O que é, como funciona e quais são suas vantagens
Essa abordagem reduz drasticamente os rastros deixados pelo ataque e dificulta a detecção por ferramentas de segurança tradicionais.
O que é o LeakNet
O LeakNet é um grupo criminoso especializado em ransomware — um tipo de malware que sequestra dados, criptografa arquivos e exige pagamento para liberar o acesso.
O grupo está ativo desde o final de 2024 e mantém uma média de três vítimas por mês. Com a adoção dessas novas técnicas, a tendência é que a operação ganhe escala e se torne ainda mais perigosa.
Como o ataque começa
O ataque começa por meio de uma técnica chamada ClickFix. Trata-se de um método de engenharia social que manipula o comportamento da vítima, em vez de explorar vulnerabilidades técnicas.
Na prática, o usuário se depara com uma tela falsa que simula um erro no sistema ou uma suposta atualização necessária. Em seguida, a interface orienta a vítima a copiar e colar um comando no terminal do próprio computador.
Ao executar essa ação, o próprio usuário ativa o ataque sem perceber.
Essa técnica já foi observada em campanhas de outros grupos, como Termite e Interlock.
A estratégia com Deno
Após a execução do comando, dois scripts são ativados no sistema:
- Um script em PowerShell (linguagem de automação nativa do Windows)
- Um script em VBScript (linguagem mais antiga, também nativa)
Os pesquisadores identificaram que esses arquivos receberam os nomes “Romeo” (.ps1) e “Juliet” (.vbs).
Esses scripts instalam o Deno na máquina da vítima. O Deno é um ambiente de execução moderno, legítimo, de código aberto e amplamente utilizado por desenvolvedores para rodar JavaScript e TypeScript.
Como o Deno é assinado digitalmente, sistemas operacionais e antivírus o consideram confiável — e é justamente isso que os atacantes exploram.
Em vez de criar um malware tradicional (mais fácil de detectar), os criminosos utilizam uma ferramenta legítima para executar código malicioso.
Essa técnica recebeu o nome de BYOR (Bring Your Own Runtime), ou “traga seu próprio ambiente de execução”, segundo a empresa de segurança ReliaQuest.
Execução na memória e evasão de detecção
O código malicioso é executado diretamente na memória do sistema — sem nunca ser salvo no disco.
Esse método, conhecido como execução “in-memory”, dificulta a detecção porque:
- A maioria dos antivírus analisa arquivos armazenados no disco
- Ferramentas forenses dependem de artefatos persistentes
- Não há arquivos tradicionais para identificar ou bloquear
Como resultado, o ataque gera pouquíssimos rastros e se camufla como uma atividade legítima de desenvolvimento.
O que acontece após a infecção
Assim que o código entra em execução, ele começa a coletar informações do sistema comprometido. Esse processo é chamado de fingerprinting do host.
Com esses dados, o malware cria um identificador único para a máquina infectada.
Em seguida, ele estabelece conexão com um servidor de Comando e Controle (C2), operado pelos atacantes. Esse servidor funciona como uma central remota que envia instruções para o malware.
A partir desse ponto, o sistema infectado entra em um ciclo contínuo de comunicação com o C2, aguardando novos comandos e baixando o payload de segundo estágio — geralmente o componente mais destrutivo do ataque.
Como os atacantes se aprofundam na rede
Depois de garantir o acesso inicial, os invasores expandem o controle dentro da rede corporativa.
Entre as técnicas utilizadas, destacam-se:
DLL Sideloading
Os atacantes inserem uma DLL maliciosa em um diretório onde um software legítimo (como o Java) irá carregá-la automaticamente.
No caso identificado, o arquivo “jli.dll” é colocado dentro da pasta “USOShared”, localizada em “ProgramData”.
Coleta de credenciais
A ferramenta klist é utilizada para mapear credenciais disponíveis no ambiente corporativo.
Movimentação lateral
Com credenciais válidas, os atacantes utilizam o PsExec — ferramenta legítima da Microsoft — para executar comandos remotamente e se mover entre máquinas da rede.
Exfiltração de dados e ransomware
Antes de ativar o ransomware, os criminosos realizam a exfiltração de dados — ou seja, roubam uma cópia completa das informações da vítima.
Para isso, utilizam buckets do Amazon S3, um serviço legítimo de armazenamento em nuvem da AWS.
Como o tráfego para servidores da Amazon é comum em ambientes corporativos, essa atividade passa despercebida na maioria dos casos.
O que as empresas podem observar
Apesar da sofisticação, o ataque segue uma cadeia de execução relativamente previsível. Isso permite que equipes de segurança implementem mecanismos de detecção baseados em comportamento.
Entre os principais sinais de alerta estão:
- Execução de comandos incomuns via terminal por usuários finais
- Instalação inesperada do Deno em máquinas corporativas
- Scripts PowerShell ou VBScript sendo executados fora de contexto
- Comunicação suspeita com servidores externos (C2)
- Uso anormal de ferramentas legítimas como PsExec e klist
- Transferências de dados para serviços de nuvem sem justificativa clara
