{"id":505819,"date":"2026-04-17T08:50:19","date_gmt":"2026-04-17T11:50:19","guid":{"rendered":"https:\/\/www.portaltela.com\/noticias\/2026\/04\/17\/malware-agingfly-amplia-ataques-a-hospitais-e-governos\/"},"modified":"2026-04-17T08:50:19","modified_gmt":"2026-04-17T11:50:19","slug":"malware-agingfly-amplia-ataques-a-hospitais-e-governos","status":"publish","type":"post","link":"https:\/\/www.portaltela.com\/noticias\/geral\/2026\/04\/17\/malware-agingfly-amplia-ataques-a-hospitais-e-governos\/","title":{"rendered":"Malware Agingfly amplia ataques a hospitais e governos"},"content":{"rendered":"<p>O grupo atribu\u00eddo ao cluster UAC-0247 ampliou seus ataques contra hospitais, cl\u00ednicas de emerg\u00eancia e \u00f3rg\u00e3os governamentais com malware voltado ao roubo de dados de navegadores baseados em Chromium e do WhatsApp. A campanha foi registrada entre mar\u00e7o e abril de 2026, destacando-se pela segmenta\u00e7\u00e3o de institui\u00e7\u00f5es sens\u00edveis e pela combina\u00e7\u00e3o de espionagem, movimenta\u00e7\u00e3o lateral e coleta de credenciais.<\/p>\n<p>Entre os-alvos est\u00e3o institui\u00e7\u00f5es de sa\u00fade e \u00f3rg\u00e3os p\u00fablicos, com foco em dados de autentica\u00e7\u00e3o, sess\u00f5es ativas e hist\u00f3rico de comunica\u00e7\u00e3o. O objetivo aparente \u00e9 sustentar futuras intrus\u00f5es e facilitar novas invas\u00f5es, ampliando o alcance da opera\u00e7\u00e3o.<\/p>\n<h3>Modo de ataque<\/h3>\n<p>Os agentes iniciam a cadeia por meio de e-mails que simulam propostas de ajuda humanit\u00e1ria. Ao clicar em um link, a v\u00edtima chega a um site comprometido ou a uma p\u00e1gina falsa que incentiva o download de um arquivo malicioso. O arquivo funciona como atalho do Windows (LNK) e, ao ser aberto, aciona o mshta.exe para executar um HTA remoto.<\/p>\n<p>Paralelamente, uma p\u00e1gina de isca distrai o usu\u00e1rio enquanto o sistema busca componentes adicionais para manter a infec\u00e7\u00e3o e estabelecer comunica\u00e7\u00e3o com a infraestrutura dos invasores. Entre as ferramentas empregadas est\u00e3o o backdoor Ravenshell e a fam\u00edlia AGINGFLY, utilizados para receber comandos, atualizar configura\u00e7\u00f5es e localizar o servidor de comando e controle.<\/p>\n<h3>Desdobramentos e risco operacional<\/h3>\n<p>As investiga\u00e7\u00f5es indicam que os operadores n\u00e3o se limitam \u00e0 coleta inicial de informa\u00e7\u00f5es. Houve reconhecimento interno da rede, deslocamento entre sistemas e exfiltra\u00e7\u00e3o de dados sens\u00edveis, elevando o risco de interrup\u00e7\u00f5es operacionais em ambientes de sa\u00fade e administra\u00e7\u00e3o p\u00fablica.<\/p>\n<p>O foco em navegadores e no WhatsApp aponta para interesse em credenciais, sess\u00f5es ativas, hist\u00f3rico de comunica\u00e7\u00e3o e dados operacionais que podem apoiar novas intrus\u00f5es. A atua\u00e7\u00e3o conjunta de espionagem, exfiltra\u00e7\u00e3o e movimenta\u00e7\u00e3o lateral evidencia uma campanha complexa de longo alcance.<\/p>\n","protected":false},"excerpt":{"rendered":"<ul>\n<li>Campanha atribu\u00edda ao cluster UAC-0247 passou a mirar hospitais, cl\u00ednicas de emerg\u00eancia e \u00f3rg\u00e3os governamentais, com malware voltado ao roubo de dados de navegadores baseados em Chromium e do WhatsApp, entre mar\u00e7o e abril de 2026.<\/li>\n<li>A infec\u00e7\u00e3o come\u00e7a com e-mails que se apresentam como propostas de ajuda humanit\u00e1ria, levando a um link que redireciona para site comprometido ou p\u00e1gina falsa que incentiva o download de um arquivo malicioso.<\/li>\n<li>O arquivo baixado \u00e9 um atalho do Windows (link), que aciona o utilit\u00e1rio mshta.exe para executar um arquivo HTA remoto, enquanto uma p\u00e1gina de isca distrai o usu\u00e1rio; em segundo plano, o sistema busca componentes adicionais para manter a infec\u00e7\u00e3o.<\/li>\n<li>Entre as ferramentas utilizadas est\u00e3o o backdoor Ravenshell e a fam\u00edlia de malware Agingfly, que permitem receber comandos, atualizar a configura\u00e7\u00e3o e localizar o servidor de comando e controle.<\/li>\n<li>Investiga\u00e7\u00f5es indicam reconhecimento interno, deslocamento lateral entre sistemas e exfiltra\u00e7\u00e3o de dados sens\u00edveis, com foco em credenciais, sess\u00f5es ativas e hist\u00f3rico de comunica\u00e7\u00e3o para sustentar novas intrus\u00f5es.<\/li>\n<\/ul>\n","protected":false},"author":15,"featured_media":505831,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"summary":"Malware AGINGFLY ataca hospitais e \u00f3rg\u00e3os governamentais, rouba credenciais de navegadores Chromium e WhatsApp e facilita exfiltra\u00e7\u00e3o de dados sens\u00edveis","footnotes":""},"categories":[298,1],"tags":[84,91,229,101,29,189],"class_list":["post-505819","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-geral","category-noticias","tag-acontecimentos-internacionais","tag-governo","tag-organizacao-criminosa","tag-pessoas","tag-saude","tag-tecnologia"],"_links":{"self":[{"href":"https:\/\/www.portaltela.com\/api\/wp\/v2\/posts\/505819","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.portaltela.com\/api\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.portaltela.com\/api\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.portaltela.com\/api\/wp\/v2\/users\/15"}],"replies":[{"embeddable":true,"href":"https:\/\/www.portaltela.com\/api\/wp\/v2\/comments?post=505819"}],"version-history":[{"count":0,"href":"https:\/\/www.portaltela.com\/api\/wp\/v2\/posts\/505819\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.portaltela.com\/api\/wp\/v2\/media\/505831"}],"wp:attachment":[{"href":"https:\/\/www.portaltela.com\/api\/wp\/v2\/media?parent=505819"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.portaltela.com\/api\/wp\/v2\/categories?post=505819"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.portaltela.com\/api\/wp\/v2\/tags?post=505819"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}