Pesquisadores da Cyble identificam um ataque avançado utilizando o Visual Studio Code para obter acesso remoto não autorizado.
Pesquisadores da Cyble descobriram uma campanha sofisticada que utiliza arquivos .LNK suspeitos e o Visual Studio Code (VSCode) para estabelecer persistência e acesso remoto não autorizado. O ataque instala automaticamente o VSCode CLI se não estiver presente na máquina da vítima. A campanha usa táticas avançadas para evitar detecção e comprometer sistemas.
Pesquisadores do Cyble Research and Intelligence Lab (CRIL) descobriram uma campanha sofisticada que começa com um arquivo .LNK suspeito e utiliza o Visual Studio Code (VSCode) para garantir persistência e acesso remoto à máquina da vítima. Se o VSCode não estiver instalado, o ataque instala a versão CLI do VSCode automaticamente.
Segundo os pesquisadores, a técnica lembra táticas usadas pelo grupo APT chinês Stately Taurus, com indícios de idioma chinês encontrados na campanha. O ataque pode ser iniciado por engenharia social, com o arquivo .LNK sendo potencialmente distribuído via e-mails de spam. Esse arquivo baixa um pacote Python, usado para executar um script ofuscado recuperado de um site de colagem.
No momento da publicação, o script não era detectado por ferramentas de segurança como o VirusTotal, dificultando a identificação. O script cria uma tarefa agendada para garantir persistência, baixando o VSCode CLI se necessário e abrindo um túnel remoto para permitir o acesso não autorizado do atacante. Uma vez estabelecido o controle remoto, o atacante pode iniciar a exfiltração de dados.
Cadeia de Infecção e Persistência
O ataque começa disfarçando o arquivo .LNK como um instalador, exibindo uma mensagem de instalação falsa em chinês enquanto, em segundo plano, baixa componentes adicionais, como um pacote Python. O script então cria diretórios e extrai os arquivos necessários, executando o código sem abrir janelas visíveis, o que mantém a atividade maliciosa oculta.
Se o VSCode não estiver presente, o script faz o download da versão CLI diretamente da Microsoft e cria uma tarefa agendada chamada “MicrosoftHealthcareMonitorNode”, que garante a execução recorrente do script a cada quatro horas para manter a persistência. Para usuários administradores, a tarefa é executada no logon com privilégios elevados, dificultando sua interrupção.
Recomendações de Segurança
A campanha evidencia o aumento da sofisticação de agentes mal-intencionados ao utilizarem ferramentas legítimas, como o VSCode, para invadir sistemas. O uso de um arquivo .LNK aparentemente inofensivo e de um script Python ofuscado permite que os atacantes driblem as medidas de detecção, reforçando a necessidade de maior vigilância e proteção contra ameaças avançadas.