A evolução da guerra cibernética atingiu um ponto de inflexão com a emergência do modelo "Steal & Go", liderado pelo grupo de malware AgingFly. Diferente das Ameaças Persistentes Avançadas (APTs) tradicionais que priorizam a furtividade a longo prazo e o movimento lateral, o AgingFly opera sob uma filosofia de alta velocidade e alto impacto: exfiltrar dados críticos em uma janela de 15 minutos e auto-terminar.
Esta mudança de paradigma representa um desafio sem precedentes para as equipes de defesa, que historicamente foram treinadas para detectar intrusos que permanecem em redes por semanas ou meses.
Análise Técnica: O Ciclo de Vida de 15 Minutos
Nossa análise de amostras recentes do AgingFly revela um fluxo de execução altamente otimizado para contornar heurísticas tradicionais de EDR (Endpoint Detection and Response) que dependem de padrões comportamentais ao longo do tempo.
Minutos 0-2: Acesso Inicial via Phishing por IA
O payload é frequentemente entregue através de e-mails de phishing ultra-personalizados onde LLMs foram usados para replicar o tom e o contexto de comunicações internas corporativas. Diferente de phishing genérico, cada e-mail é:
- Contextualizado com informações reais extraídas de redes sociais do alvo.
- Escrito no estilo de comunicação de um colega real da vítima.
- Enviado em horários estratégicos (geralmente no final do expediente, quando a atenção cai).
Minutos 2-5: Execução Residente em Memória
O AgingFly utiliza Injeção de DLL Reflexiva avançada. O payload principal nunca toca o disco em sua forma descriptografada, residindo puramente na memória de processos de serviços legítimos do Windows (como svchost.exe). Isso torna a detecção por EDRs baseados em análise de arquivo praticamente impossível.
O processo de injeção segue uma cadeia específica:
- Exploração de um serviço Windows legítimo com permissões elevadas.
- Alocação de memória no espaço do processo-alvo via
VirtualAllocEx. - Escrita do payload descriptografado em memória via
WriteProcessMemory. - Criação de thread remota via
CreateRemoteThreadpara executar o código injetado.
Minutos 5-12: Triagem e Exfiltração Rápida
Após a execução, o malware realiza uma triagem automatizada do sistema de arquivos, priorizando:
- Arquivos
.docx,.xlsx,.pdf(documentos corporativos) - Arquivos
.kdbx(bancos de dados KeePass com senhas) - Arquivos
.pem,.key,.p12(certificados e chaves privadas) - Dumps de navegadores (cookies, senhas salvas, tokens de sessão)
Ele usa uma implementação customizada do algoritmo de compressão Zstandard (zstd) para velocidade, transmitindo dados para uma infraestrutura de C2 (Comando e Controle) descentralizada baseada em nós Tor.
Minutos 12-15: Auto-Destruição e Limpeza
O AgingFly elimina seus próprios rastros:
- Limpa logs de eventos do Windows relevantes.
- Remove vestígios de memória sobrescrevendo com dados aleatórios.
- Desfaz as entradas de registro modificadas.
- O mutex é liberado e o processo é encerrado graciosamente.
Lógica de Detecção (Regra YARA)
Para auxiliar as equipes de segurança na identificação desta ameaça, desenvolvemos uma assinatura baseada em strings de memória únicas e padrões de mutex utilizados pela variante atual:
rule AgingFly_StealAndGo_Memory {
meta:
description = "Detecta padrão de injeção reflexiva do malware AgingFly"
author = "Fymax Sentinel Research"
date = "2026-04-19"
strings:
$hex_pattern = { 4D 5A 45 52 4F 00 00 00 } // Tweak de header PE customizado
$mutex_name = "Global\\Sentin3l_Exfil_Mutex_2026"
$string1 = "zstd_stream_flush_error"
$string2 = "api-ms-win-core-memory-l1-1-0.dll"
condition:
uint16(0) == 0x5A4D and 2 of ($string*) or $mutex_name or $hex_pattern
}
Estratégias de Mitigação
Defender-se contra o "Steal & Go" exige uma mudança da detecção em repouso para o monitoramento de memória em tempo real:
-
Zero-Trust Memory Access: Implementar políticas que restrinjam o uso de
VirtualAllocExeCreateRemoteThreadem processos não-sistêmicos. Ferramentas como o Elastic Defend e o CrowdStrike Falcon já oferecem regras específicas para bloquear esses padrões. -
Filtragem de Egressos de Rede: Monitorar picos repentinos de tráfego criptografado para faixas de IP desconhecidas, mesmo que durem apenas alguns minutos. Configurar alertas para qualquer transmissão que exceda 100MB em uma janela de 5 minutos para destinos não catalogados.
-
Isolamento de Processos: Utilizar isolamento baseado em hardware (como Intel VT-x e AMD SEV) para aplicações críticas de processamento de documentos para evitar a raspagem de memória.
-
Canários de Dados (Honeytokens): Distribuir arquivos falsos (.kdbx, .docx) com beacons que alertam quando são acessados, identificando a presença do AgingFly antes que ele complete o ciclo de exfiltração.
Como as Empresas Devem se Adaptar
A lição da Ucrânia em 2026 é clara: o tempo de reação é a única métrica que importa.
- Micro-segmentação Dinâmica: Isolar redes em tempo real assim que uma anomalia de exfiltração é detectada. A resposta não pode esperar aprovação humana.
- Autenticação sem Senha (Passwordless): Mover para chaves FIDO2, já que o AgingFly é especialista em roubar senhas salvas em navegadores e gerenciadores.
- Monitoramento de Exfiltração: Focar mais na saída de dados do que na entrada de ameaças. O AgingFly prova que focar apenas na prevenção de entrada é insuficiente.
- Simulação de Ataques de 15 Minutos: Incluir cenários de "Steal & Go" nos exercícios de red team para testar se a equipe de segurança consegue detectar e responder dentro da janela de ataque.
Na Fymax Sentinel, monitoramos estas tendências globais para garantir que as infraestruturas dos nossos clientes estejam preparadas não para o ataque de ontem, mas para a velocidade do ataque de amanhã.
Sua empresa está pronta para um ataque que dura apenas 15 minutos? Conheça nossas soluções de auditoria e defesa ativa
