APT Seedworm Abusa de Binários Assinados da Fortemedia e SentinelOne para Sideloading de DLLs Maliciosas

30 de maio de 2026

Resumo

O grupo Seedworm (MuddyWater), ligado ao Irã, conduziu uma campanha de espionagem no início de 2026 contra nove organizações em nove países. A campanha abusou de binários legítimos da Fortemedia (fmapp.exe) e SentinelOne (sentinelmemoryscanner.exe) para realizar sideloading de DLLs maliciosas contendo o stealer de dados de navegador ChromElevator. Os operadores usaram node.exe em vez de PowerShell para orquestrar a cadeia de ataque e evadir a detecção, estabeleceram persistência via chave de registro, implementaram ferramentas de roubo de credenciais em ondas redundantes e exfiltraram dados via o serviço público de transferência de arquivos sendit.sh para se misturar ao tráfego normal de nuvem. Recomenda-se monitorar DLLs não assinadas carregadas junto a executáveis assinados, sinalizar atividades inesperadas de Node.js, bloquear tráfego de saída para serviços de transferência de arquivos desconhecidos e aplicar políticas rigorosas de registro de inicialização.

Avalie este artigo:

Categoria: CEVIU Segurança da Informação
Publicado: 30 de maio de 2026
Fonte: CEVIU Segurança da Informação

Quer receber mais sobre CEVIU Segurança da Informação?