1) O fato
Um grupo de hackers ligado ao governo russo está distribuindo versões adulteradas dos instaladores do WebEx e do Zoom para infectar alvos com o Starland RAT (Remote Access Trojan). A campanha, identificada por pesquisadores de segurança, utiliza páginas de download falsas que imitam com precisão os sites oficiais das duas plataformas de videoconferência. Os instaladores trojanizados, uma vez executados, instalam o software legítimo junto com o malware em segundo plano, dificultando a detecção pela vítima. O Starland RAT permite acesso remoto completo ao dispositivo comprometido, incluindo captura de tela, keylogging, roubo de credenciais e exfiltração de arquivos.
2) Contexto
Esta não é a primeira vez que agentes russos utilizam aplicativos legítimos como isca para distribuir malware. A tática de trojanizar instaladores — conhecida como "supply chain watering hole" indireto — tem se tornado cada vez mais comum entre grupos de APT (Advanced Persistent Threat) russos, como o APT29 (Cozy Bear) e o APT28 (Fancy Bear). O WebEx e o Zoom foram escolhidos por sua ampla adoção corporativa, especialmente após a pandemia de COVID-19, quando o trabalho remoto consolidou essas ferramentas como padrão em organizações governamentais e empresariais ao redor do mundo. A escolha não é ingênua: ambas as plataformas são utilizadas por setores de defesa, diplomacia, tecnologia e finanças.
3) Análise
A campanha sinaliza uma evolução tática significativa na guerra cibernética patrocinada por estados. Em vez de explorar vulnerabilidades zero-day — que são caras, de curta duração e cada vez mais difíceis de obter — os agentes russos estão investindo pesadamente em engenharia social direcionada com instaladores adulterados. Esta abordagem tem custo mais baixo e taxa de sucesso potencialmente maior, já que explora o elo mais fraco da segurança cibernética: o fator humano. O Starland RAT é particularmente perigoso por sua capacidade de operar de forma stealth, mantendo persistência no sistema por longos períodos e exfiltrando dados lentamente para evitar disparar alertas em soluções de EDR (Endpoint Detection and Response). Para organizações que dependem do WebEx e do Zoom para comunicações sensíveis, o risco vai além do malware: a confiança no próprio software de comunicação é posta em xeque.
4) O que observar
- Lista de organizações comprometidas que pode ser divulgada nas próximas semanas por pesquisadores - Reação da Cisco (dona do WebEx) e da Zoom Video Communications com medidas de verificação de downloads - Ampliação da campanha para outras ferramentas corporativas como Slack, Microsoft Teams e Google Meet - Orientações de órgãos de segurança como CISA e NCSC sobre verificação de hash de instaladores
Fonte: BleepingComputer