A evolução da guerra cibernética atingiu um ponto de inflexão com a emergência do modelo "Steal & Go", liderado pelo grupo de malware AgingFly. Diferente das Ameaças Persistentes Avançadas (APTs) tradicionais que priorizam a furtividade a longo prazo e o movimento lateral, o AgingFly opera sob uma filosofia de alta velocidade e alto impacto: exfiltrar dados críticos em uma janela de 15 minutos e auto-terminar.

Análise Técnica: O Ciclo de Vida de 15 Minutos

Nossa análise de amostras recentes do AgingFly revela um fluxo de execução altamente otimizado para contornar heurísticas tradicionais de EDR (Endpoint Detection and Response) que dependem de padrões comportamentais ao longo do tempo.

1. Acesso Inicial via Phishing por IA: O payload é frequentemente entregue através de e-mails de phishing ultra-personalizados onde LLMs foram usados para replicar o tom e o contexto de comunicações internas corporativas.
2. Execução Residente em Memória: O AgingFly utiliza Injeção de DLL Reflexiva avançada. O payload principal nunca toca o disco em sua forma descriptografada, residindo puramente na memória de processos de serviços legítimos do Windows (como svchost.exe).
3. Triagem e Exfiltração Rápida: Após a execução, o malware realiza uma triagem automatizada do sistema de arquivos, priorizando arquivos .docx, .pdf e .kdbx (KeePass). Ele usa uma implementação customizada do algoritmo de compressão Zstandard (zstd) para velocidade, transmitindo dados para uma infraestrutura de C2 (Comando e Controle) descentralizada.

Lógica de Detecção (Regra YARA)

Para auxiliar as equipes de segurança na identificação desta ameaça, desenvolvemos uma assinatura baseada em strings de memória únicas e padrões de mutex utilizados pela variante atual:

rule AgingFly_StealAndGo_Memory {
    meta:
        description = "Detecta padrão de injeção reflexiva do malware AgingFly"
        author = "Fymax Sentinel Research"
        date = "2026-04-19"
    
    strings:
        $hex_pattern = { 4D 5A 45 52 4F 00 00 00 } // Tweak de header PE customizado
        $mutex_name = "Global\\Sentin3l_Exfil_Mutex_2026"
        $string1 = "zstd_stream_flush_error"
        $string2 = "api-ms-win-core-memory-l1-1-0.dll"
    
    condition:
        uint16(0) == 0x5A4D and 2 of ($string*) or $mutex_name or $hex_pattern
}

Estratégias de Mitigação

Defender-se contra o "Steal & Go" exige uma mudança da detecção em repouso para o monitoramento de memória em tempo real:

• Zero-Trust Memory Access: Implementar políticas que restrinjam o uso de VirtualAllocEx e CreateRemoteThread em processos não-sistêmicos.
• Filtragem de Egressos de Rede: Monitorar picos repentinos de tráfego criptografado para faixas de IP desconhecidas, mesmo que durem apenas alguns minutos.
• Isolamento de Processos: Utilizar isolamento baseado em hardware (como Intel VT-x) para aplicações críticas de processamento de documentos para evitar a raspagem de memória.

O grupo AgingFly representa uma nova linhagem de atacantes que entendem que a velocidade é a arma definitiva contra os stacks de segurança modernos.

Como as Empresas Devem se Adaptar

A lição da Ucrânia em 2026 é clara: o tempo de reação é a única métrica que importa.

1. Micro-segmentação Dinâmica: Isolar redes em tempo real assim que uma anomalia de exfiltração é detectada.
2. Autenticação sem Senha (Passwordless): Mover para chaves FIDO2, já que o AgingFly é especialista em roubar senhas salvas.
3. Monitoramento de Exfiltração: Focar mais na saída de dados do que na entrada de ameaças.

Na Fymax Sentinel, monitoramos estas tendências globais para garantir que as infraestruturas dos nossos clientes estejam preparadas não para o ataque de ontem, mas para a velocidade do ataque de amanhã.

Sua empresa está pronta para um ataque que dura apenas 15 minutos? Conheça nossas soluções de auditoria e defesa ativa