- A unidade 42 viu 4L4MD4R sendo implantada via Shell de ferramentas
- Os bandidos estão pedindo US $ 500 em bitcoin
- Toolshell é um bug do servidor Microsoft SharePoint corrigido no final de julho
O risco para empresas que não corrigiram a vulnerabilidade da concha de ferramentas continuam crescendo depois que novos relatórios sugerem que os atores de ransomware também estão se juntando à festa de exploração.
Pesquisadores do braço de segurança cibernética da Palo Alto Network, Unidade 42, disse Eles observaram um ator de ameaças conhecido como 4L4MD4R usando a concha de ferramentas para obter acesso e tentar implantar o criptografado.
A ToolShell é um apelido para uma desserialização da vulnerabilidade de dados não confiável, descoberta recentemente em instâncias locais do Microsoft SharePoint Server. Ele é rastreado como CVE-2025-53770, e foi dito que permitia a execução de código remoto não autenticado, dando aos atacantes controle sobre sistemas não patches simplesmente enviando uma solicitação criada. Foi dado uma pontuação de gravidade de 9,8/10 (crítica) e foi corrigida no final de julho de 2025.
4L4MD4R entrou no chat
Menos de duas semanas depois que a Microsoft emitiu uma mitigação de emergência, os pesquisadores de segurança começaram a perceber um aumento nos ataques e a contagem de vítimas nas centenas.
“Há muito mais, porque nem todos os vetores de ataque deixaram artefatos para os quais poderíamos escanear”, advertiu a segurança ocular na época.
Muitas organizações de alto nível foram vítimas de diferentes ataques cibernéticos graças a essa falha, incluindo a Administração Nacional de Segurança Nuclear dos EUA, o Departamento de Educação, o Departamento de Receita da Flórida, a Assembléia Geral de Rhode Island e as redes governamentais na Europa e no Oriente Médio.
Agora, os jogadores de ransomware também estão pulando na onda de ferramentas. De acordo com a Unidade 42, o 4L4MD4R é baseado no código MAURI870 de código aberto. Foi visto em 27 de julho, quando os pesquisadores estavam investigando um ataque fracassado.
“A análise da carga útil 4L4MD4R revelou que é compactada UPX e escrita em Golang. Após a execução, a amostra descriptografa uma carga útil criptografada de AES na memória, aloca memória para carregar o arquivo PE descriptografado e cria um novo encadeamento para executá-lo”, disse a unidade 42.
A identidade, ou possível afiliação nacional, do grupo é desconhecida neste momento. No entanto, os pesquisadores disseram que os hackers estavam exigindo um pagamento de 0,005 Bitcoin, o que se traduz em aproximadamente US $ 500.
Via BleepingComputer
Fique conectado