Os conjuntos de ferramentas usados pelos agentes de ameaças para atacar seus alvos estão evoluindo rapidamente, com um aumento de 127% na complexidade do malware nos últimos seis meses, de acordo com a OPSWAT, uma empresa de segurança cibernética com foco em infraestrutura crítica.
Em sua inauguração Relatório do cenário de ameaças, publicado em 6 de agosto durante a Black Hat USA, a empresa estimou que esse aumento significativo é impulsionado principalmente por três fatores principais combinados
- Cadeias de execução de vários estágios
- Carregadores fortemente ofuscados (por exemplo, NetReactor)
- Comportamentos evasivos que passam despercebidos pelas soluções tradicionais de antivírus e detecção e resposta de endpoint (EDR)
Adversários combinam scripts leves para contornar a detecção
De acordo com o relatório da OPSWAT, os agentes de ameaças dependem cada vez mais do encadeamento de scripts leves e ofuscados para contornar a detecção.
Os vetores de acesso inicial observados este ano variam de tipos de arquivos incomuns, como atalhos de .lnk, a documentos de phishing mais tradicionais.
Em seguida, eles normalmente aproveitam uma combinação de scripts (Batch, PowerShell, VBS, JavaScript…), cada um ofuscando o próximo estágio, encadeados em ordens e profundidades variadas.
“Essas cadeias de scripts são projetadas para simplicidade e modularidade, o que paradoxalmente as torna mais difíceis de capturar. A execução é rápida e os rastreamentos são mínimos. Um exemplo de destaque foi visto em campanhas de espionagem direcionadas em toda a Europa Oriental, onde os arquivos LNK serviram como lançadores silenciosos para cadeias de script fortemente ofuscadas”, diz o relatório da OPSWAT.
Além disso, a OPSWAT observou um aumento do uso da técnica ‘ClickFix’ de cibercriminosos e agentes de ameaças de estados-nação.
Leia mais: Ataques do ClickFix aumentam 517% em 2025
Adversários favorecem a furtividade em vez da escala
Uma especificidade observada durante os últimos seis meses foi uma clara mudança para estratégias de ataque baseadas em precisão, favorecendo a furtividade e a evasão em vez do volume absoluto.
Os agentes de ameaças confiaram cada vez mais na exploração de técnicas obscuras ou anteriormente desconhecidas, geralmente métodos de evasão de dia zero, não apenas para comprometimento inicial, mas para contornar sistematicamente os pipelines de detecção.
As principais táticas incluíam:
- Entrega de arquivos malformados, como documentos corrompidos do Office projetados para evitar a lógica de análise
- Truques de ofuscação direcionados a pontos cegos de detecção, como a incorporação de marcadores BOM UTF-16 em scripts em lote para interromper a análise
- Formatos de carga não convencionais, incluindo JavaScript ou Python compilados, raramente são associados a malware tradicional
Adicionando outra camada de sofisticação, muitas operações incorporaram lógica com reconhecimento geográfico, em que as cargas eram entregues ou executadas apenas em regiões específicas. Esse isolamento deliberado minimizou a visibilidade, permitindo que as campanhas evitassem o sandbox tradicional e permanecessem indetectáveis.
Da mesma forma, os adversários tendem a favorecer a furtividade em vez da escala ao selecionar suas cargas úteis. As cargas típicas se escondem em formatos como bitmaps .NET e imagens esteganográficas, com os serviços do Google reaproveitados para infraestrutura secreta de comando e controle (C2).
OPSWAT’s 2025 Relatório do cenário de ameaças é baseado na telemetria comportamental de mais de 890.000 varreduras de sandbox nos últimos 12 meses usando o Filescao.io, uma plataforma de análise de malware.
A métrica de complexidade do malware é baseada nos nós médios de emulação em malware de vários estágios, calculados pelos pesquisadores da OPSWAT com base em sua telemetria.