Novo Malware 'LucidRook' Usado em Ataques Direcionados a ONGs e Universidades

13 de abril de 2026

Resumo

LucidRook é um backdoor baseado em Lua que visou ONGs e universidades taiwanesas por meio de duas cadeias de phishing direcionado em outubro de 2025. Uma cadeia baseada em LNK onde um arquivo protegido por senha entrega uma carta governamental isca junto com um dropper LucidPawn que realiza DLL-sideloading de LucidRook através de um executável do Microsoft Edge renomeado. A segunda é uma cadeia baseada em EXE usando um instalador falso da Trend Micro para atingir o mesmo resultado.

Uma vez em execução, LucidRook busca payloads de bytecode Lua de segunda etapa de um C2 (hospedado brevemente e removido após a entrega para dificultar a forense), coleta dados de reconhecimento do sistema, criptografa-os com RSA em arquivos protegidos por senha e os exfiltra via FTP. Uma ferramenta auxiliar, LucidKnight, abusa do GMTP do Gmail para exfiltração de dados. Defensores devem procurar por sideloading de DismCore[.]dll, tráfego FTP de saída de cargas de trabalho que não sejam de servidor e tráfego anômalo da Gmail API a partir de endpoints como pontos de detecção iniciais.

Avalie este artigo:

Categoria: CEVIU Segurança da Informação
Publicado: 13 de abril de 2026
Fonte: CEVIU Segurança da Informação

Quer receber mais sobre CEVIU Segurança da Informação?