Image by Monique Carrati, from Unsplash
Hackers Miram em Diplomatas da UE com Convites Falsos para Evento de Vinhos
Tempo de leitura: 3 minuto
Última atualização: Apr 17, 2025
-
![Kiara Fabbri]()
-
![Equipe de localização e tradução]()
Traduzido por Equipe de localização e tradução Serviços de localização e tradução
Hackers russos se passando por oficiais da UE atraíram diplomatas com convites falsos para degustação de vinhos, implantando o malware furtivo GRAPELOADER em uma campanha de espionagem em evolução.
Está com pressa? Aqui estão os fatos rápidos:
- APT29 ataca diplomatas da UE com e-mails de phishing disfarçados de convites para eventos de vinho.
- GRAPELOADER usa táticas mais sutis do que malware anterior, incluindo atualizações anti-análise.
- O malware executa código oculto via DLL side-loading em um arquivo PowerPoint.
Pesquisadores de cibersegurança descobriram uma nova onda de ataques de phishing realizados pelo grupo de hackers ligado à Rússia APT29, também conhecido como Cozy Bear. A campanha, destacada pela Check Point, tem como alvo diplomatas europeus, enganando-os com convites falsos para eventos de degustação de vinhos diplomáticos.
A investigação descobriu que os atacantes se passaram por um Ministério das Relações Exteriores europeu e enviaram aos diplomatas convites que pareciam oficiais. Os e-mails continham links que, ao serem clicados, levavam ao download de um malware escondido em um arquivo chamado wine.zip.
Esse arquivo instala uma nova ferramenta chamada GRAPELOADER, que permite aos atacantes obter um ponto de apoio no computador da vítima. GRAPELOADER coleta informações do sistema, estabelece uma porta dos fundos para mais comandos e garante que o malware permaneça no dispositivo mesmo após uma reinicialização.
“GRAPELOADER aprimora as técnicas anti-análise de WINELOADER, enquanto introduz métodos de ocultação mais avançados”, observaram os pesquisadores. A campanha também usa uma versão mais recente do WINELOADER, um backdoor conhecido de ataques APT29 anteriores, que provavelmente é usado nas etapas posteriores.
Os e-mails de phishing foram enviados de domínios que se passavam por verdadeiros funcionários do ministério. Se o link no email não conseguia enganar o alvo, emails de acompanhamento eram enviados para tentar novamente. Em alguns casos, clicar no link redirecionava os usuários para o site oficial do Ministério para evitar suspeitas.
O processo de infecção utiliza um arquivo PowerPoint legítimo para executar um código oculto usando um método chamado “DLL side-loading”. O malware então se copia para uma pasta oculta, altera as configurações do sistema para ser iniciado automaticamente e se conecta a um servidor remoto a cada minuto para aguardar novas instruções.
Os atacantes fizeram grandes esforços para permanecer ocultos. GRAPELOADER usa técnicas complexas para embaralhar seu código, apagar seus rastros e evitar a detecção por softwares de segurança. Esses métodos tornam mais difícil para os analistas desmontar e estudar o malware.
Esta campanha mostra que a APT29 continua a evoluir suas táticas, utilizando estratégias criativas e enganosas para espionar alvos governamentais em toda a Europa.
História anterior
Artigos mais recentes 
