Uma nova onda de ataques cibernéticos surgiu usando a estrutura Tuoni Command and Control (C2), uma ferramenta sofisticada que permite que os agentes de ameaças implantem cargas maliciosas diretamente na memória do sistema.
Essa técnica ajuda os invasores a evitar a detecção por soluções de segurança tradicionais que dependem da verificação de arquivos armazenados em disco.
A estrutura Tuoni ganhou atenção na comunidade de segurança cibernética por seu design modular e capacidade de suportar múltiplos cenários de ataque sem deixar rastros significativos em sistemas comprometidos.
O ataque normalmente começa com e-mails de phishing ou sites comprometidos que entregam a carga inicial. Uma vez executado, o malware estabelece uma conexão com o servidor C2 do invasor e aguarda mais instruções.
O que torna o Tuoni particularmente perigoso é o uso da execução na memória, o que significa que o código malicioso é executado inteiramente na RAM do computador, sem gravar arquivos no disco rígido.
Essa abordagem reduz significativamente as chances de detecção por software antivírus e ferramentas de proteção de endpoint.
Os pesquisadores de segurança da Morphisec identificaram a ameaça durante o monitoramento de rotina de atividades de rede suspeitas. A análise revelou que os invasores estavam usando o Tuoni para entregar cargas secundárias, incluindo ladrões de credenciais, ransomware e trojans de acesso remoto.
A estrutura oferece suporte a vários protocolos de comunicação e pode combinar seu tráfego com atividades legítimas de rede, tornando um desafio para as equipes de segurança identificar máquinas comprometidas.
Análise Técnica da Execução In-Memory de Tuoni
A estrutura Tuoni emprega várias técnicas avançadas para manter a discrição enquanto opera em sistemas infectados. Basicamente, o malware usa injeção de processo para inserir seu código em processos legítimos do Windows, como svchost.exe ou explorer.exe.
Função Invoke-DataBlock (Fonte – Morphisec)
Isso é conseguido por meio de chamadas de API como VirtualAllocEx e WriteProcessMemory, que alocam espaço de memória dentro do processo de destino e gravam a carga maliciosa nesse espaço.
Endereço LPVOID = VirtualAllocEx (hProcess, NULL, payloadSize, MEM_COMMIT, PAGE_EXECUTE_READWRITE); WriteProcessMemory(hProcess, addr, carga útil, payloadSize, NULL); CreateRemoteThread(hProcess, NULL, 0, (LPTHREAD_START_ROUTINE)endereço, NULL, 0, NULL);
A estrutura também implementa criptografia para suas comunicações de rede, usando AES-256 para codificar os dados transmitidos entre o host infectado e o servidor C2.
Isso evita que as ferramentas de monitoramento de rede inspecionem o conteúdo dos comandos e dos dados roubados. As organizações devem implementar recursos de varredura de memória e monitorar comportamentos incomuns de processos para detectar infecções Tuoni de maneira eficaz.
Siga-nos no Google News, LinkedIn e X para obter mais atualizações instantâneas, defina CSN como fonte preferencial no Google.
