Os investigadores da ESET descobriram uma campanha de ciberespionagem que, pelo menos desde setembro de 2023, tem vitimizado os tibetanos através de um watering hole direcionado (também conhecido como compromisso estratégico da web) e um compromisso da cadeia de abastecimento para fornecer instaladores trojanizados de software de tradução da língua tibetana. Os invasores pretendiam implantar downloaders maliciosos para Windows e macOS para comprometer os visitantes do site com MgBot e um backdoor que, até onde sabemos, ainda não foi documentado publicamente; nós o chamamos de Nightdoor.
Pontos-chave neste blogpost:
- Descobrimos uma campanha de ciberespionagem que aproveita o Festival Monlam – um encontro religioso – para atingir tibetanos em vários países e territórios.
- Os invasores comprometeram o site do organizador do festival anual, que acontece na Índia, e adicionaram código malicioso para criar um ataque watering hole visando usuários conectados a partir de redes específicas.
- Também descobrimos que a cadeia de suprimentos de um desenvolvedor de software foi comprometida e instaladores trojanizados para Windows e macOS foram disponibilizados aos usuários.
- Os invasores lançaram vários downloaders maliciosos e backdoors completos para a operação, incluindo um backdoor publicamente não documentado para Windows, que chamamos de Nightdoor.
- Atribuímos esta campanha com grande confiança ao grupo Evasive Panda APT, alinhado à China.
Perfil Evasive Panda
Panda Evasivo (também conhecido como MONTANHA MONTANHA e Adaga) é um grupo APT de língua chinesa, ativo desde pelo menos 2012. A ESET Research observou o grupo conduzindo ciberespionagem contra indivíduos na China continental, Hong Kong, Macau e Nigéria. As entidades governamentais foram visadas no Sudeste e Leste Asiático, especificamente na China, Macau, Mianmar, Filipinas, Taiwan e Vietname. Outras organizações na China e em Hong Kong também foram alvo. De acordo com relatórios públicos, o grupo também tem como alvo entidades desconhecidas em Hong Kong, na Índia e na Malásia.
O grupo usa sua própria estrutura de malware personalizada com uma arquitetura modular que permite que seu backdoor, conhecido como MgBot, receba módulos para espionar suas vítimas e aprimorar suas capacidades. Desde 2020, também observamos que o Evasive Panda tem capacidade para entregar seus backdoors por meio de ataques adversários intermediários. sequestrando atualizações de software legítimo.
Visão geral da campanha
Em Janeiro de 2024, descobrimos uma operação de ciberespionagem em que os atacantes comprometeram pelo menos três websites para realizar ataques watering hole, bem como um comprometimento da cadeia de abastecimento de uma empresa de software tibetana.
O site comprometido e usado como bar pertence à Kagyu International Monlam Trust, uma organização com sede na Índia que promove o budismo tibetano internacionalmente. Os invasores colocaram um script no site que verifica o endereço IP da vítima em potencial e, se estiver dentro de um dos intervalos de endereços direcionados, mostra uma página de erro falsa para motivar o usuário a baixar uma “correção” chamada certificado (com extensão .exe se o visitante estiver usando Windows ou pkg se macOS). Este arquivo é um downloader malicioso que implanta o próximo estágio na cadeia de comprometimento.
Com base nos intervalos de endereços IP verificados pelo código, descobrimos que os invasores tinham como alvo usuários na Índia, Taiwan, Hong Kong, Austrália e Estados Unidos; o ataque pode ter tido como objetivo capitalizar o interesse internacional no Festival Kagyu Monlam (Figura 1), que se realiza anualmente em janeiro na cidade de Bodhgaya, na Índia.
Curiosamente, a rede do Georgia Institute of Technology (também conhecido como Georgia Tech) nos Estados Unidos está entre as entidades identificadas nos intervalos de endereços IP alvo. No passado, a universidade foi mencionada em conexão com a influência do Partido Comunista Chinês nas instituições de ensino nos EUA.
Por volta de setembro de 2023, os invasores comprometeram o site de uma empresa de desenvolvimento de software com sede na Índia que produz software de tradução para o idioma tibetano. Os invasores colocaram vários aplicativos trojanizados lá que implantam um downloader malicioso para Windows ou macOS.
Além disso, os agressores também abusaram do mesmo site e de um site de notícias tibetano chamado Tibetpost – postagem do tibete[.]rede – para hospedar as cargas obtidas pelos downloads maliciosos, incluindo dois backdoors completos para Windows e um número desconhecido de cargas para macOS.
Com grande confiança atribuímos esta campanha ao grupo Evasive Panda APT, com base no malware utilizado: MgBot e Nightdoor. No passado, vimos ambos os backdoors serem implantados em conjunto, num ataque não relacionado contra uma organização religiosa em Taiwan, no qual também partilhavam o mesmo servidor C&C. Ambos os pontos também se aplicam à campanha descrita nesta postagem do blog.
Poço de água
Em janeiro de 14th, 2024, detectamos um script suspeito em https://www.kagyumonlam[.]org/media/vendor/jquery/js/jquery.js?3.6.3.
O código malicioso ofuscado foi anexado a um código legítimo jQuery Script da biblioteca JavaScript, conforme visto na Figura 2.
O script envia uma solicitação HTTP para o endereço localhost http://localhost:63403/?callback=handleCallback para verificar se o downloader intermediário do invasor já está em execução na máquina da vítima em potencial (veja a Figura 3). Em uma máquina previamente comprometida, o implante responde com handleCallback({“sucesso”:true }) (veja a Figura 4) e nenhuma ação adicional é executada pelo script.
Se a máquina não responder com os dados esperados, o código malicioso continua obtendo um hash MD5 de um servidor secundário em https://update.devicebug[.]com/getVersion.php. Em seguida, o hash é verificado em uma lista de 74 valores de hash, conforme visto na Figura 6.
Se houver uma correspondência, o script renderizará uma página HTML com uma falsa notificação de falha (Figura 7) destinada a atrair o usuário visitante para que baixe uma solução para corrigir o problema. A página imita o típico “Ah, não!” avisos de Google Chrome.
O botão “Correção Imediata” aciona um script que baixa uma carga baseada no sistema operacional do usuário (Figura 8).
Quebrando o hash
A condição para entrega de carga requer a obtenção do hash correto do servidor em update.devicebug[.]com, portanto, os 74 hashes são a chave para o mecanismo de seleção de vítimas do invasor. No entanto, como o hash é calculado no lado do servidor, foi um desafio saber quais dados são usados para calculá-lo.
Experimentamos diferentes endereços IP e configurações de sistema e restringimos a entrada do algoritmo MD5 a uma fórmula dos três primeiros octetos do endereço IP do usuário. Em outras palavras, ao inserir endereços IP que compartilham o mesmo prefixo de rede, por exemplo 192.168.0.1 e 192.168.0.50, receberá o mesmo hash MD5 do servidor C&C.
No entanto, uma combinação desconhecida de caracteres ou um sal, é incluído na sequência dos três primeiros octetos IP antes do hash para evitar que os hashes sejam trivialmente forçados por força bruta. Portanto, precisávamos aplicar força bruta no salt para proteger a fórmula de entrada e só então gerar hashes usando todo o intervalo de endereços IPv4 para encontrar os 74 hashes correspondentes.
Às vezes as estrelas se alinham e descobrimos que o sal estava 1qaz0okm!@#. Com todas as partes da fórmula de entrada MD5 (por exemplo, 192.168.1.1qaz0okm!@#), aplicamos força bruta aos 74 hashes com facilidade e geramos uma lista de alvos. Veja o Apêndice para uma lista completa.
Conforme mostrado na Figura 9, a maioria dos intervalos de endereços IP direcionados está na Índia, seguida por Taiwan, Austrália, Estados Unidos e Hong Kong. Observe que a maior parte diáspora tibetana mora na Índia.
Carga útil do Windows
No Windows, as vítimas do ataque recebem um executável malicioso localizado em https://update.devicebug[.]com/fixTools/certificate.exe. A Figura 10 mostra a cadeia de execução que segue quando o usuário baixa e executa a correção maliciosa.
certificado.exe é um dropper que implanta uma cadeia de carregamento lateral para carregar um downloader intermediário, memmgrset.dll (nomeado internamente http_dy.dll). Esta DLL busca um arquivo JSON do servidor C&C em https://update.devicebug[.]com/assets_files/config.json, que contém as informações para baixar o próximo estágio (veja a Figura 11).
Quando o próximo estágio é baixado e executado, ele implanta outra cadeia de carregamento lateral para entregar o Nightdoor como carga útil final. Uma análise do Nightdoor é fornecida abaixo no Porta noturna seção.
Carga útil do macOS
O malware macOS é o mesmo downloader que documentamos com mais detalhes em Compromisso da cadeia de suprimentos. No entanto, este descarta um executável Mach-O adicional, que escuta na porta TCP 63403. Seu único propósito é responder com handleCallback({“sucesso”:true }) à solicitação de código JavaScript malicioso, portanto, se o usuário visitar o site watering hole novamente, o código JavaScript não tentará comprometer novamente o visitante.
Este downloader obtém o arquivo JSON do servidor e baixa a próxima etapa, assim como a versão do Windows descrita anteriormente.
Compromisso da cadeia de suprimentos
Em janeiro de 18th, descobrimos que o site oficial (Figura 12) de um produto de software de tradução do idioma tibetano para diversas plataformas hospedava pacotes ZIP contendo instaladores trojanizados de software legítimo que implantava downloaders maliciosos para Windows e macOS.
Encontramos uma vítima do Japão que baixou um dos pacotes para Windows. A Tabela 1 lista os URLs e os implantes descartados.
Tabela 1. URLs dos pacotes maliciosos no site comprometido e tipo de carga útil no aplicativo comprometido
URL do pacote malicioso |
Tipo de carga |
https://www.monlamit[.]com/monlam-app-store/monlam-bodyig3.zip |
Baixador Win32 |
https://www.monlamit[.]com/monlam-app-store/Monlam_Grand_Tibetan_Dictionary_2018.zip |
Baixador Win32 |
https://www.monlamit[.]com/monlam-app-store/Deutsch-Tibetisches_W%C3%B6rterbuch_Installer_Windows.zip |
Baixador Win32 |
https://www.monlamit[.]com/monlam-app-store/monlam-bodyig-mac-os.zip |
downloader macOS |
https://www.monlamit[.]com/monlam-app-store/Monlam-Grand-Tibetan-Dictionary-for-mac-OS-X.zip |
downloader macOS |
Pacotes do Windows
A Figura 13 ilustra a cadeia de carregamento do aplicativo trojanizado do pacote monlam-bodyig3.zip.
O aplicativo trojanizado contém um conta-gotas malicioso chamado Autorun.exe que implanta dois componentes:
- um arquivo executável chamado MonlamUpdate.exe, que é um componente de software de um emulador chamado Capítulo 64 para sempre e é abusado para carregamento lateral de DLL, e
- RPHost.dll, a DLL carregada lateralmente, que é um downloader malicioso para o próximo estágio.
Quando a DLL do downloader é carregada na memória, ela cria uma tarefa agendada chamada Demovale destinado a ser executado sempre que um usuário fizer logon. No entanto, como a tarefa não especifica um arquivo para execução, ela não consegue estabelecer persistência.
Em seguida, esta DLL obtém um UUID e a versão do sistema operacional para criar um User-Agent personalizado e envia uma solicitação GET para https://www.monlamit[.]com/sites/default/files/softwares/updateFiles/Monlam_Grand_Tibetan_Dictionary_2018/UpdateInfo.dat para obter um arquivo JSON contendo o URL para baixar e executar uma carga útil que ele coloca no % TEMP% diretório. Não foi possível obter uma amostra dos dados do objeto JSON do site comprometido; portanto não sabemos de onde exatamente default_ico.exe é baixado, conforme ilustrado na Figura 13.
Através da telemetria da ESET, notamos que o ilegítimo MonlamUpdate.exe processo baixou e executou em diferentes ocasiões pelo menos quatro arquivos maliciosos para %TEMP%default_ico.exe. A Tabela 2 lista esses arquivos e sua finalidade.
Tabela 2. Hash do default_ico.exe downloader/dropper, URL C&C contatado e descrição do downloader
SHA-1 |
URL contatado |
Propósito |
1C7DF9B0023FB97000B7 |
https://tibetpost[.]net/templates/ |
Baixa uma carga desconhecida do servidor. |
F0F8F60429E3316C463F |
Baixa uma carga desconhecida do servidor. Este exemplo foi escrito em Rust. |
|
7A3FC280F79578414D71 |
http://188.208.141[.]204:5040/ |
Baixa um conta-gotas Nightdoor com nome aleatório. |
BFA2136336D845184436 |
N/D |
Ferramenta de código aberto Informação do sistema, no qual os invasores integraram seu código malicioso e incorporaram um blob criptografado que, uma vez descriptografado e executado, instala o MgBot. |
Finalmente, o default_ico.exe downloader ou dropper irá obter a carga do servidor ou descartá-la e, em seguida, executá-la na máquina da vítima, instalando o Nightdoor (veja o Porta noturna seção) ou MgBot (veja nosso análise anterior).
Os dois pacotes trojanizados restantes são muito semelhantes, implantando a mesma DLL de download maliciosa carregada lateralmente pelo executável legítimo.
pacotes macOS
O arquivo ZIP baixado da app store oficial contém um pacote de instalação modificado (pkg arquivo), onde um executável Mach-O e um script de pós-instalação foram adicionados. O script pós-instalação copia o arquivo Mach-O para $HOME/Biblioteca/Containers/CalendarFocusEXT/ e prossegue com a instalação de um Launch Agent em $HOME/Library/LaunchAgents/com.Terminal.us.plist para persistência. A Figura 14 mostra o script responsável por instalar e iniciar o Launch Agent malicioso.
O malicioso Mach-O, Monlam-bodyig_Keyboard_2017 na Figura 13 é assinado, mas não autenticado, usando um certificado de desenvolvedor (não um tipo de certificado normalmente usado para distribuição) com o nome e identificador da equipe você, ni yang (2289F6V4BN). O carimbo de data/hora na assinatura mostra que ela foi assinada em 7 de janeiroth, 2024. Esta data também é usada no carimbo de data/hora modificado dos arquivos maliciosos nos metadados do arquivo ZIP. O certificado foi emitido apenas três dias antes. O certificado completo está disponível no IoCs seção. Nossa equipe entrou em contato com a Apple em 25 de janeiroth e o certificado foi revogado no mesmo dia.
Este malware de primeiro estágio baixa um arquivo JSON que contém a URL para o próximo estágio. A arquitetura (ARM ou Intel), a versão do macOS e o UUID de hardware (um identificador exclusivo para cada Mac) são relatados no cabeçalho da solicitação HTTP User-Agent. A mesma URL da versão do Windows é usada para recuperar essa configuração: https://www.monlamit[.]com/sites/default/files/softwares/updateFiles/Monlam_Grand_Tibetan_Dictionary_2018/UpdateInfo.dat. No entanto, a versão do macOS examinará os dados na chave mac do objeto JSON em vez do ganhar chave.
O objeto na chave mac deve conter o seguinte:
- url: o URL para o próximo estágio.
- md5: soma MD5 da carga útil.
- verão: uma lista de UUIDs de hardware. Se presente, a carga só será instalada em Macs que possuam um dos UUIDs de hardware listados. Esta verificação será ignorada se a lista estiver vazia ou ausente.
- versão: Um valor numérico que deve ser superior à “versão” do segundo estágio baixada anteriormente. Caso contrário, a carga útil não será baixada. O valor da versão atualmente em execução é mantido no aplicativo padrões do usuário.
Depois que o malware baixa o arquivo do URL especificado usando curl, o arquivo é criptografado usando MD5 e comparado com o resumo hexadecimal sob o comando md5 chave. Se corresponder, seus atributos estendidos serão removidos (para limpar o atributo com.apple.quarantine), o arquivo será movido para $HOME/Library/SafariBrowser/Safari.app/Contents/MacOS/SafariBrower, e é iniciado usando execvp com o argumento executado.
Ao contrário da versão para Windows, não encontramos nenhum dos estágios posteriores da variante macOS. Uma configuração JSON continha um hash MD5 (3C5739C25A9B85E82E0969EE94062F40), mas o campo URL estava vazio.
Porta noturna
O backdoor que chamamos de Nightdoor (e é chamado de NetMM pelos autores do malware de acordo com os caminhos do PDB) é uma adição tardia ao conjunto de ferramentas do Evasive Panda. Nosso primeiro conhecimento do Nightdoor remonta a 2020, quando o Evasive Panda o implantou em uma máquina de um alvo de alto perfil no Vietnã. O backdoor se comunica com seu servidor C&C via UDP ou API do Google Drive. O implante Nightdoor desta campanha utilizou o último. Ele criptografa uma API do Google OAuth2.0 token na seção de dados e usa o token para acessar o Google Drive do invasor. Solicitamos que a conta do Google associada a este token seja removida.
Primeiro, Nightdoor cria uma pasta no Google Drive contendo o endereço MAC da vítima, que também funciona como ID da vítima. Esta pasta conterá todas as mensagens entre o implante e o servidor C&C. Cada mensagem entre o Nightdoor e o servidor C&C é estruturada como um arquivo e separada em nome do arquivo e dados do arquivo, conforme ilustrado na Figura 15.
Cada nome de arquivo contém oito atributos principais, demonstrados no exemplo abaixo.
Exemplo:
1_2_0C64C2BAEF534C8E9058797BCD783DE5_168_0_1_4116_0_00-00-00-00-00-00
- 1_2: valor mágico.
- 0C64C2BAEF534C8E9058797BCD783DE5: cabeçalho de pbuf estrutura de dados.
- 168: tamanho do objeto de mensagem ou tamanho do arquivo em bytes.
- 0: nome do arquivo, que é sempre o padrão 0 (nulo).
- 1: tipo de comando, codificado para 1 ou 0 dependendo da amostra.
- 4116: ID do comando.
- 0: qualidade de serviço (QoS).
- 00-00-00-00-00-00: pretende ser o endereço MAC do destino, mas sempre o padrão é 00-00-00-00-00-00.
Os dados dentro de cada arquivo representam o comando do controlador para o backdoor e os parâmetros necessários para executá-lo. A Figura 16 mostra um exemplo de mensagem do servidor C&C armazenada como dados de arquivo.
Através da engenharia reversa do Nightdoor, conseguimos entender o significado dos campos importantes apresentados no arquivo, conforme mostrado na Figura 17.
Descobrimos que muitas mudanças significativas foram adicionadas à versão Nightdoor usada nesta campanha, sendo uma delas a organização dos IDs de comando. Nas versões anteriores, cada ID de comando era atribuído a uma função de tratamento, um por um, conforme mostrado na Figura 18. As opções de numeração, como de 0x2001 para 0x2006, a partir de 0x2201 para 0x2203, a partir de 0x4001 para 0x4003, e de 0x7001 para 0x7005, sugeriu que os comandos fossem divididos em grupos com funcionalidades semelhantes.
Porém, nesta versão, Nightdoor usa uma tabela ramificada para organizar todos os IDs de comando com seus manipuladores correspondentes. Os IDs de comando são contínuos e atuam como índices para seus manipuladores correspondentes na tabela de ramificação, conforme mostrado na Figura 19.
A Tabela 3 é uma prévia dos comandos do servidor C&C e suas funcionalidades. Esta tabela contém os novos IDs de comando, bem como os IDs equivalentes de versões mais antigas.
Tabela 3. Comandos suportados pelas variantes Nightdoor usadas nesta campanha.
ID de comando |
ID do comando anterior |
Descrição |
|
0x1001 |
0x2001 |
Colete informações básicas do perfil do sistema, como: – Versão do sistema operacional – Adaptadores de rede IPv4, endereços MAC e endereços IP – Nome da CPU - Nome do computador - Nome do usuário – Nomes de drivers de dispositivos – Todos os nomes de usuário de C:Usuários* - Horário local – Endereço IP público usando o ifconfig.me or ipinfo.io serviço de internet |
|
0x1007 |
0x2002 |
Colete informações sobre unidades de disco, como: – Nome da unidade – Espaço livre e espaço total – Tipo de sistema de arquivos: NTFS, FAT32, etc. |
|
0x1004 |
0x2003 |
Colete informações sobre todos os aplicativos instalados nas chaves de registro do Windows: - HKLMSOFTWARE - WOW6432NodeMicrosoftWindows - MicrosoftWindowsCurrentVersionDesinstalar (x86) |
|
0x1003 |
0x2004 |
Colete informações sobre processos em execução, como: - Nome do processo - Número de processos - Nome do usuário – Localização do arquivo no disco – Descrição do arquivo no disco |
|
0x1006 |
0x4001 |
Crie um shell reverso e gerencie entrada e saída por meio de pipes anônimos. |
|
0x4002 |
|||
0x4003 |
|||
0x1002 |
N/D |
Auto-desinstalação. |
|
0x100C |
0x6001 |
Mover arquivo. O caminho é fornecido pelo servidor C&C. |
|
0x100B |
0x6002 |
Excluir arquivo. O caminho é fornecido pelo servidor C&C. |
|
0x1016 |
0x6101 |
Obtenha atributos de arquivo. O caminho é fornecido pelo servidor C&C. |
Conclusão
Analisámos uma campanha do APT Evasive Panda, alinhado com a China, que tinha como alvo tibetanos em vários países e territórios. Acreditamos que os invasores aproveitaram, na época, o próximo festival Monlam, em janeiro e fevereiro de 2024, para comprometer os usuários quando eles visitaram o site do festival que virou bar. Além disso, os invasores comprometeram a cadeia de fornecimento de um desenvolvedor de software de aplicativos de tradução do idioma tibetano.
Os invasores utilizaram vários downloaders, droppers e backdoors, incluindo MgBot – que é usado exclusivamente pelo Evasive Panda – e Nightdoor: a última grande adição ao kit de ferramentas do grupo e que tem sido usado para atingir diversas redes no Leste Asiático.
Uma lista abrangente de Indicadores de Comprometimento (IoCs) e amostras podem ser encontradas em nosso Repositório GitHub.
Para quaisquer dúvidas sobre nossa pesquisa publicada no WeLiveSecurity, entre em contato conosco em ameaçaintel@eset.com.
A ESET Research oferece relatórios privados de inteligência APT e feeds de dados. Para qualquer esclarecimento sobre este serviço, visite o Inteligência de ameaças ESET Disputas de Comerciais.
IoCs
Arquivos
SHA-1 |
Nome do arquivo |
Detecção |
Descrição |
0A88C3B4709287F70CA2 |
Autorun.exe |
Win32/Agent.AGFU |
Componente dropper adicionado ao pacote de instalação oficial. |
1C7DF9B0023FB97000B7 |
default_ico.exe |
Win32/Agente.AGFN |
Baixador intermediário. |
F0F8F60429E3316C463F |
default_ico.exe |
Win64/Agente.DLY |
Downloader intermediário programado em Rust. |
7A3FC280F79578414D71 |
default_ico.exe |
Win32/Agent.AGFQ |
Downloader Nightdoor. |
70B743E60F952A1238A4 |
UjGnsPwFaEtl.exe |
Win32/Agente.AGFS |
Conta-gotas noturno. |
FA44028115912C95B5EF |
RPHost.dll |
Win32/Agent.AGFM |
Carregador intermediário. |
5273B45C5EABE64EDBD0 |
certificado.pkg |
OSX/Agente.DJ |
Componente conta-gotas do MacOS. |
5E5274C7D931C1165AA5 |
certificado.exe |
Win32/Agente.AGES |
Componente dropper do site comprometido. |
59AA9BE378371183ED41 |
default_ico_1.exe |
Win32/Agent.AGFO |
Componente conta-gotas Nightdoor. |
8591A7EE00FB1BB7CC5B |
memmgrset.dll |
Win32/Agent.AGGH |
Carregador intermediário para o componente de download do Nightdoor. |
82B99AD976429D0A6C54 |
pidgin.dll |
Win32/Agent.AGGI |
Carregador intermediário para Nightdoor. |
3EEE78EDE82F6319D094 |
Monlam_Grand_Tibetan_Dictionary_2018.zip |
Win32/Agent.AGFM |
Instalador trojanizado. |
2A96338BACCE3BB687BD |
jquery.js |
JS/TrojanDownloader.Agent.AAPA |
JavaScript malicioso adicionado ao site comprometido. |
8A389AFE1F85F83E340C |
Monlam Bodyig 3.1.exe |
Win32/Agent.AGFU |
Instalador trojanizado. |
944B69B5E225C7712604 |
deutsch-tibetisches_w__rterbuch_installer_windows.zip |
MSIL/Agente.WSK |
Pacote de instalação trojanizado. |
A942099338C946FC196C |
monlam-bodyig3.zip |
Win32/Agent.AGFU |
Pacote de instalação trojanizado. |
52FE3FD399ED15077106 |
Monlam-Grand-Tibetan-Dictionary-for-mac-OS-X.zip |
OSX/Agente.DJ |
Pacote de instalação trojanizado do MacOS. |
57FD698CCB5CB4F90C01 |
monlam-bodyig-mac-os.zip |
OSX/Agente.DJ |
Pacote de instalação trojanizado do MacOS. |
C0575AF04850EB1911B0 |
Segurança ~ .x64 |
OSX/Agente.DJ |
Baixador MacOS. |
7C3FD8EE5D660BBF43E4 |
Segurança~.arm64 |
OSX/Agente.DJ |
Baixador MacOS. |
FA78E89AB95A0B49BC06 |
Segurança.fat |
OSX/Agente.DJ |
Componente de download do MacOS. |
5748E11C87AEAB3C19D1 |
Arquivo de exportação Monlam_Grand_Dictionary |
OSX/Agente.DJ |
Componente malicioso do pacote de instalação trojanizado do macOS. |
Certificados
Número de série |
49:43:74:D8:55:3C:A9:06:F5:76:74:E2:4A:13:E9:33
|
Impressão digital |
77DBCDFACE92513590B7C3A407BE2717C19094E0 |
Assunto CN |
Desenvolvimento Apple: ya ni yang (2289F6V4BN) |
Assunto O |
você, ni yang |
Assunto L |
N/D |
Assuntos |
N/D |
Assunto C |
US |
Válido de |
2024-01-04 05:26:45 |
Valido para |
2025-01-03 05:26:44 |
Número de série |
6014B56E4FFF35DC4C948452B77C9AA9 |
Impressão digital |
D4938CB5C031EC7F04D73D4E75F5DB5C8A5C04CE |
Assunto CN |
KP MÓVEL |
Assunto O |
KP MÓVEL |
Assunto L |
N/D |
Assuntos |
N/D |
Assunto C |
KR |
Válido de |
2021-10-25 00:00:00 |
Valido para |
2022-10-25 23:59:59 |
IP |
Domínio |
Provedor de hospedagem |
Visto pela primeira vez |
Adicionar ao carrinho |
N/D |
postagem do tibete[.]rede |
N/D |
2023-11-29 |
Site comprometido. |
N/D |
www.monlamit[.]com |
N/D |
2024-01-24 |
Site comprometido. |
N/D |
update.devicebug[.]com |
N/D |
2024-01-14 |
DC. |
188.208.141[.]204 |
N/D |
Amol Hingade |
2024-02-01 |
Servidor de download para o componente conta-gotas Nightdoor. |
Técnicas MITER ATT e CK
Esta tabela foi construída usando versão 14 da estrutura MITRE ATT&CK.
Tática |
ID |
Nome |
Descrição |
Desenvolvimento de Recursos |
Adquirir Infraestrutura: Servidor |
Evasive Panda adquiriu servidores para a infraestrutura C&C de Nightdoor, MgBot e o componente de download do macOS. |
|
Adquirir infraestrutura: serviços da Web |
Evasive Panda usou o serviço web do Google Drive para a infraestrutura C&C do Nightdoor. |
||
Infraestrutura comprometida: servidor |
Os operadores evasivos do Panda comprometeram vários servidores para usá-los como bebedouros, para um ataque à cadeia de suprimentos e para hospedar cargas úteis e usar como servidores C&C. |
||
Estabelecer contas: contas na nuvem |
Evasive Panda criou uma conta no Google Drive e a usou como infraestrutura de C&C. |
||
Desenvolver recursos: malware |
O Evasive Panda implantou implantes personalizados, como MgBot, Nightdoor e um componente de download do macOS. |
||
T1588.003 |
Obter recursos: certificados de assinatura de código |
Evasive Panda obteve certificados de assinatura de código. |
|
Recursos de palco: alvo de passagem |
Os operadores do Evasive Panda modificaram um site de alto perfil para adicionar um trecho de código JavaScript que renderiza uma notificação falsa para download de malware. |
||
Acesso Inicial |
Compromisso de passagem |
Os visitantes de sites comprometidos podem receber uma mensagem de erro falsa, incentivando-os a baixar malware. |
|
Compromisso da cadeia de suprimentos: Cadeia de suprimentos de software comprometida |
O Evasive Panda trojanizou pacotes de instalação oficiais de uma empresa de software. |
||
Execução |
API nativa |
Nightdoor, MgBot e seus componentes intermediários de download usam APIs do Windows para criar processos. |
|
Tarefa/Trabalho Agendado: Tarefa Agendada |
Os componentes do carregador do Nightdoor e do MgBot podem criar tarefas agendadas. |
||
Persistência |
Criar ou modificar o processo do sistema: serviço do Windows |
Os componentes do carregador do Nightdoor e do MgBot podem criar serviços do Windows. |
|
Fluxo de execução de sequestro: carregamento lateral de DLL |
Os componentes dropper do Nightdoor e do MgBot implantam um arquivo executável legítimo que carrega lateralmente um carregador malicioso. |
||
Evasão de Defesa |
Desofuscar / decodificar arquivos ou informações |
Os componentes DLL do implante Nightdoor são descriptografados na memória. |
|
Prejudicar defesas: desativar ou modificar o firewall do sistema |
Nightdoor adiciona duas regras de Firewall do Windows para permitir comunicação de entrada e saída para sua funcionalidade de servidor proxy HTTP. |
||
Remoção do Indicador: Exclusão de Arquivo |
Nightdoor e MgBot podem excluir arquivos. |
||
Remoção do Indicador: Limpar Persistência |
Nightdoor e MgBot podem se desinstalar. |
||
Mascarar: Mascarar Tarefa ou Serviço |
O carregador do Nightdoor disfarçou sua tarefa como netsvcs. |
||
Mascaramento: corresponder ao nome ou local legítimo |
O instalador do Nightdoor implanta seus componentes em diretórios de sistema legítimos. |
||
Arquivos ou informações ofuscados: cargas úteis incorporadas |
O componente dropper do Nightdoor contém arquivos maliciosos incorporados que são implantados no disco. |
||
Injeção de processo: injeção de biblioteca de vínculo dinâmico |
Os componentes dos carregadores do Nightdoor e do MgBot se injetam no svchost.exe. |
||
Carregamento de código reflexivo |
Os componentes do carregador do Nightdoor e do MgBot se injetam no svchost.exe, de onde carregam o backdoor do Nightdoor ou do MgBot. |
||
Discovery |
Descoberta de conta: conta local |
Nightdoor e MgBot coletam informações de contas de usuários do sistema comprometido. |
|
Descoberta de arquivos e diretórios |
Nightdoor e MgBot podem coletar informações de diretórios e arquivos. |
||
Descoberta de Processo |
Nightdoor e MgBot coletam informações sobre processos. |
||
Registro de consulta |
Nightdoor e MgBot consultam o registro do Windows para encontrar informações sobre o software instalado. |
||
Descoberta de software |
Nightdoor e MgBot coletam informações sobre software e serviços instalados. |
||
Proprietário do sistema/descoberta de usuário |
Nightdoor e MgBot coletam informações de contas de usuários do sistema comprometido. |
||
Descoberta de informações do sistema |
Nightdoor e MgBot coletam uma ampla gama de informações sobre o sistema comprometido. |
||
Descoberta de Conexões de Rede do Sistema |
Nightdoor e MgBot podem coletar dados de todas as conexões TCP e UDP ativas na máquina comprometida. |
||
Coleção |
Arquivar dados coletados |
Nightdoor e MgBot armazenam dados coletados em arquivos criptografados. |
|
Recolha Automática |
Nightdoor e MgBot coletam automaticamente informações do sistema e da rede sobre a máquina comprometida. |
||
Dados do sistema local |
Nightdoor e MgBot coletam informações sobre o sistema operacional e dados do usuário. |
||
Dados preparados: preparação de dados locais |
Nightdoor prepara dados para exfiltração em arquivos no disco. |
||
Comando e controle |
Protocolo de camada de aplicativo: protocolos da Web |
Nightdoor se comunica com o servidor C&C usando HTTP. |
|
Protocolo de camada de não aplicação |
Nightdoor se comunica com o servidor C&C usando UDP. O MgBot se comunica com o servidor C&C usando TCP. |
||
Porta não padrão |
MgBot usa a porta TCP 21010. |
||
Tunelamento de protocolo |
Nightdoor pode atuar como um servidor proxy HTTP, encapsulando a comunicação TCP. |
||
Serviço de internet |
Nightdoor usa o Google Drive para comunicação C&C. |
||
exfiltration |
Exfiltração Automatizada |
Nightdoor e MgBot exfiltram automaticamente os dados coletados. |
|
Exfiltração sobre serviço da Web: exfiltração para armazenamento em nuvem |
Nightdoor pode exfiltrar seus arquivos para o Google Drive. |
Apêndice
Os intervalos de endereços IP direcionados são fornecidos na tabela a seguir.
CIDR |
ISP |
Cidades |
País |
124.171.71.0/24 |
iiNet |
Sydney |
Australia |
125.209.157.0/24 |
iiNet |
Sydney |
Australia |
1.145.30.0/24 |
Telstra |
Sydney |
Australia |
193.119.100.0/24 |
TPG Telecom |
Sydney |
Australia |
14.202.220.0/24 |
TPG Telecom |
Sydney |
Australia |
123.243.114.0/24 |
TPG Telecom |
Sydney |
Australia |
45.113.1.0/24 |
Tecnologia HK 92server |
香港 |
香港 |
172.70.191.0/24 |
Cloudflare |
Ahmedabad |
Índia |
49.36.224.0/24 |
Confiança Jio Infocomm |
Airoli |
Índia |
106.196.24.0/24 |
Bharti Airtel |
Bengaluru |
Índia |
106.196.25.0/24 |
Bharti Airtel |
Bengaluru |
Índia |
14.98.12.0/24 |
Tata Teleserviços |
Bengaluru |
Índia |
172.70.237.0/24 |
Cloudflare |
Chandigarh |
Índia |
117.207.51.0/24 |
Bharat Sanchar Nigam Limited |
Dalhousie |
Índia |
103.214.118.0/24 |
Banda de placa Airnet |
Délhi |
Índia |
45.120.162.0/24 |
Ani Boardband |
Délhi |
Índia |
103.198.173.0/24 |
Anonet |
Délhi |
Índia |
103.248.94.0/24 |
Anonet |
Délhi |
Índia |
103.198.174.0/24 |
Anonet |
Délhi |
Índia |
43.247.41.0/24 |
Anonet |
Délhi |
Índia |
122.162.147.0/24 |
Bharti Airtel |
Délhi |
Índia |
103.212.145.0/24 |
Excitel |
Délhi |
Índia |
45.248.28.0/24 |
Eletrônica Omkar |
Délhi |
Índia |
49.36.185.0/24 |
Confiança Jio Infocomm |
Délhi |
Índia |
59.89.176.0/24 |
Bharat Sanchar Nigam Limited |
Dharamsala |
Índia |
117.207.57.0/24 |
Bharat Sanchar Nigam Limited |
Dharamsala |
Índia |
103.210.33.0/24 |
Vayudoot |
Dharamsala |
Índia |
182.64.251.0/24 |
Bharti Airtel |
Gandarbal |
Índia |
117.255.45.0/24 |
Bharat Sanchar Nigam Limited |
Haliyal |
Índia |
117.239.1.0/24 |
Bharat Sanchar Nigam Limited |
Hamirpur |
Índia |
59.89.161.0/24 |
Bharat Sanchar Nigam Limited |
Jaipur |
Índia |
27.60.20.0/24 |
Bharti Airtel |
Lucknow |
Índia |
223.189.252.0/24 |
Bharti Airtel |
Lucknow |
Índia |
223.188.237.0/24 |
Bharti Airtel |
Meerut |
Índia |
162.158.235.0/24 |
Cloudflare |
Mumbai |
Índia |
162.158.48.0/24 |
Cloudflare |
Mumbai |
Índia |
162.158.191.0/24 |
Cloudflare |
Mumbai |
Índia |
162.158.227.0/24 |
Cloudflare |
Mumbai |
Índia |
172.69.87.0/24 |
Cloudflare |
Mumbai |
Índia |
172.70.219.0/24 |
Cloudflare |
Mumbai |
Índia |
172.71.198.0/24 |
Cloudflare |
Mumbai |
Índia |
172.68.39.0/24 |
Cloudflare |
Nova Délhi |
Índia |
59.89.177.0/24 |
Bharat Sanchar Nigam Limited |
Palampur |
Índia |
103.195.253.0/24 |
Rede Digital Protoact |
Ranchi |
Índia |
169.149.224.0/24 |
Confiança Jio Infocomm |
Shimla |
Índia |
169.149.226.0/24 |
Confiança Jio Infocomm |
Shimla |
Índia |
169.149.227.0/24 |
Confiança Jio Infocomm |
Shimla |
Índia |
169.149.229.0/24 |
Confiança Jio Infocomm |
Shimla |
Índia |
169.149.231.0/24 |
Confiança Jio Infocomm |
Shimla |
Índia |
117.255.44.0/24 |
Bharat Sanchar Nigam Limited |
sirsi |
Índia |
122.161.241.0/24 |
Bharti Airtel |
Srinagar |
Índia |
122.161.243.0/24 |
Bharti Airtel |
Srinagar |
Índia |
122.161.240.0/24 |
Bharti Airtel |
Srinagar |
Índia |
117.207.48.0/24 |
Bharat Sanchar Nigam Limited |
Yol |
Índia |
175.181.134.0/24 |
InfoComm do Novo Século |
Hsinchu |
Taiwan |
36.238.185.0/24 |
Chunghwa Telecom |
Kaohsiung |
Taiwan |
36.237.104.0/24 |
Chunghwa Telecom |
Eu penso |
Taiwan |
36.237.128.0/24 |
Chunghwa Telecom |
Eu penso |
Taiwan |
36.237.189.0/24 |
Chunghwa Telecom |
Eu penso |
Taiwan |
42.78.14.0/24 |
Chunghwa Telecom |
Eu penso |
Taiwan |
61.216.48.0/24 |
Chunghwa Telecom |
Eu penso |
Taiwan |
36.230.119.0/24 |
Chunghwa Telecom |
Taipei |
Taiwan |
114.43.219.0/24 |
Chunghwa Telecom |
Taipei |
Taiwan |
114.44.214.0/24 |
Chunghwa Telecom |
Taipei |
Taiwan |
114.45.2.0/24 |
Chunghwa Telecom |
Taipei |
Taiwan |
118.163.73.0/24 |
Chunghwa Telecom |
Taipei |
Taiwan |
118.167.21.0/24 |
Chunghwa Telecom |
Taipei |
Taiwan |
220.129.70.0/24 |
Chunghwa Telecom |
Taipei |
Taiwan |
106.64.121.0/24 |
Far EasTone Telecomunicações |
Taoyuan City |
Taiwan |
1.169.65.0/24 |
Chunghwa Telecom |
Xizhi |
Taiwan |
122.100.113.0/24 |
Taiwan Celular |
Yilan |
Taiwan |
185.93.229.0/24 |
Sucuri de Segurança |
Ashburn |
Estados Unidos |
128.61.64.0/24 |
Georgia Institute of Technology |
Atlanta |
Estados Unidos |
216.66.111.0/24 |
Telefone de Vermont |
Wallingford |
Estados Unidos |
- Conteúdo com tecnologia de SEO e distribuição de relações públicas. Seja amplificado hoje.
- PlatoData.Network Gerativa Vertical Ai. Capacite-se. Acesse aqui.
- PlatoAiStream. Inteligência Web3. Conhecimento Amplificado. Acesse aqui.
- PlatãoESG. Carbono Tecnologia Limpa, Energia, Ambiente, Solar, Gestão de resíduos. Acesse aqui.
- PlatoHealth. Inteligência em Biotecnologia e Ensaios Clínicos. Acesse aqui.
- Fonte: https://www.welivesecurity.com/en/eset-research/evasive-panda-leverages-monlam-festival-target-tibetans/
- :tem
- :é
- :não
- :onde
- 06
- 1
- 10
- 100
- 11
- 114
- 118
- 12
- 120
- 121
- 13
- 14
- 15%
- 16
- 167
- 17
- 173
- 179
- 19
- 195
- 20
- 202
- 2020
- 2023
- 2024
- 210
- 212
- 214
- 216
- 220
- 224
- 23
- 237
- 24
- 247
- 25
- 26%
- 28
- 30
- 33
- 36
- 39
- 40
- 41
- 43
- 51
- 60
- 65
- 66
- 7
- 70
- 75
- 8
- 87
- 89
- 9
- 98
- a
- Capaz
- Sobre
- Acesso
- Segundo
- Conta
- Contas
- adquirido
- Aja
- ações
- ativo
- atos
- adicionar
- adicionado
- Adição
- Adicional
- endereço
- endereços
- Adiciona
- novamente
- contra
- Agente
- Destinado
- algoritmo
- alinhar
- Todos os Produtos
- permitir
- permite
- já
- tb
- sempre
- entre
- an
- análise
- analisado
- e
- anual
- Anualmente
- Anônimo
- Outro
- responder
- qualquer
- api
- APIs
- app
- loja de aplicativos
- Apple
- Aplicação
- aplicações
- Aplicar
- Aplicativos
- APT
- arquitetura
- arquivo
- SOMOS
- argumento
- ARM
- Ordem
- AS
- Ásia
- atribuído
- associado
- At
- ataque
- Ataques
- tentativa
- atributos
- Australia
- autores
- automaticamente
- disponível
- em caminho duplo
- Porta dos fundos
- Backdoors
- isca
- baseado
- basic
- BE
- sido
- antes
- ser
- Acreditar
- pertence
- abaixo
- MELHOR
- entre
- ambos
- Ramo
- construído
- mas a
- botão
- by
- chamado
- Campanha
- CAN
- capacidades
- capitalizar
- maiúsculo
- transportar
- Century
- certificado
- certificados
- cadeia
- desafiar
- Alterações
- caracteres
- verificar
- verificado
- Cheques
- China
- chinês
- escolhas
- Cidades
- remover filtragem
- Na nuvem
- código
- coletar
- COM
- combinação
- Comunicação
- Empresa
- comparado
- completar
- componente
- componentes
- compreensivo
- compromisso
- Comprometido
- Computar
- computadorizada
- computador
- condição
- condutor
- confiança
- Configuração
- Conexão de
- da conexão
- Coneções
- Contacto
- não contenho
- contida
- contém
- conteúdo
- continua
- contínuo
- Conversa
- correta
- Correspondente
- poderia
- países
- Crash
- crio
- criado
- cria
- criptografia
- Atualmente
- personalizadas
- dados,
- Estrutura de dados
- Data
- Datas
- dia
- dias
- Padrão
- defaults
- Defesas
- entregar
- Entrega
- demonstraram
- Dependendo
- retratado
- implantar
- implantado
- Implantação
- implanta
- descrito
- descrição
- destino
- detalhe
- detectou
- Developer
- Desenvolvimento
- Companhia de desenvolvimento
- dispositivo
- diferente
- Digerir
- digital
- diretórios
- anuário
- descoberto
- descoberta
- distribuição
- dividido
- do
- documento
- parece
- não
- down
- download
- descarga
- de downloads
- distância
- motorista
- Acionadores
- Cair
- desistiu
- Drops
- cada
- mais cedo
- facilidade
- Leste
- Educação
- oito
- ou
- incorporado
- criptografada
- final
- Engenharia
- aumentar
- sedutor
- Todo
- entidades
- Equivalente
- erro
- Pesquisa ESET
- estabelecer
- etc.
- eventos
- Cada
- exatamente
- exemplo
- exclusivamente
- executar
- executado
- Executa
- execução
- exfiltração
- esperado
- exportar
- opção
- extensão
- falha
- falsificação
- Fevereiro
- FESTIVAL
- campo
- Campos
- Figura
- figurado
- Envie o
- Arquivos
- final
- Encontre
- firewall
- Primeiro nome
- Fixar
- fluxo
- seguido
- seguinte
- segue
- Escolha
- formato
- Fórmula
- encontrado
- quatro
- Quadro
- Gratuito
- da
- cheio
- função
- funcionalidades
- funcionalidade
- funções
- mais distante
- coleta
- gerar
- gerado
- ter
- fica
- obtendo
- vai
- Governo
- Entidades Governamentais
- Designer
- Grupo
- Do grupo
- Manipulação
- Hardware
- hash
- hash
- Hashing
- Ter
- Herói
- Alta
- de alto perfil
- superior
- Buraco
- Buracos
- Hong
- 香港
- hospedeiro
- hospedado
- hospedagem
- Contudo
- HTML
- http
- HTTPS
- ID
- identificado
- identificador
- ids
- if
- ilustra
- imagem
- importante
- in
- Em outra
- incluído
- Incluindo
- índices
- Índia
- indicadores
- indivíduos
- influência
- INFORMAÇÕES
- Infraestrutura
- injetável
- entrada
- introduzindo
- Inquéritos
- dentro
- instalar
- instalado
- instalando
- em vez disso
- Instituto
- integrado
- Intel
- Inteligência
- Pretendido
- interesse
- internamente
- Internacionais
- Internacionalmente
- para dentro
- IP
- Endereço IP
- Endereços IP
- Emitido
- IT
- ESTÁ
- janeiro
- Japão
- JavaScript
- jio
- jQuery
- json
- apenas por
- manteve
- Chave
- chaves
- Saber
- Conhecimento
- conhecido
- Kong
- língua
- Atrasado
- mais tarde
- mais recente
- lançamento
- lançado
- de lançamento
- camada
- mínimo
- legítimo
- aproveita as
- Biblioteca
- como
- Lista
- Listado
- escuta
- listas
- Vidas
- carregar
- carregador
- carregamento
- local
- localizado
- localização
- olhar
- mac
- máquina
- MacOS
- mágica
- a Principal
- continente
- principal
- Maioria
- Malaysia
- malicioso
- malwares
- gerencia
- muitos
- mascarada
- Match
- fósforos
- correspondente
- Posso..
- MD5
- me
- significado
- significativo
- significava
- mecanismo
- Memória
- mensagem
- mensagens
- metadados
- método
- poder
- desaparecido
- modificada
- modificar
- modulares
- Módulos
- mais
- a maioria
- movido
- múltiplo
- devo
- Myanmar
- nome
- Nomeado
- necessário
- necessário
- rede
- redes
- Novo
- notícias
- Próximo
- Nigéria
- não
- nota
- notificação
- número
- objeto
- obter
- obtido
- obtendo
- obtém
- ocasiões
- of
- Oferece
- oficial
- Website oficial
- Velho
- mais velho
- on
- uma vez
- ONE
- só
- para
- operando
- sistema operativo
- operação
- operadores
- or
- organização
- organizações
- OS
- Outros
- de outra forma
- A Nossa
- Fora
- saída
- Acima de
- próprio
- pacote
- pacotes
- página
- parâmetros
- passado
- caminho
- caminhos
- persistência
- Filipinas
- peça
- peças
- Lugar
- Plataformas
- platão
- Inteligência de Dados Platão
- PlatãoData
- por favor
- pontos
- colocada
- potencial
- presente
- apresentado
- evitar
- visualização
- anterior
- anteriormente
- privado
- Problema
- prossegue
- processo
- processos
- produz
- Produto
- Perfil
- programado
- promove
- protocolo
- fornecido
- procuração
- público
- publicamente
- publicado
- propósito
- qualidade
- quarentena
- pergunta
- alcance
- gamas
- alcançado
- receber
- registro
- relacionado
- remanescente
- remoção
- Removido
- tornar
- renderizado
- torna
- resposta
- Informou
- Relatórios
- representa
- solicitar
- exige
- pesquisa
- pesquisadores
- responsável
- reverso
- regras
- Execute
- corrida
- Ferrugem
- sal
- mesmo
- amostra
- programado
- escrita
- Segundo
- secundário
- Seção
- seguro
- segurança
- Vejo
- visto
- doadores,
- envia
- Setembro
- servido
- servidor
- Servidores
- serviço
- Serviços
- vários
- compartilhado
- compartilhando
- concha
- rede de apoio social
- mostrando
- Shows
- lado
- assinatura
- assinado
- assinatura
- semelhante
- desde
- Tamanho
- So
- Software
- desenvolvimento de software
- solução
- sudeste
- Espaço
- específico
- especificamente
- especificada
- Etapa
- Estágio
- Estrelas
- Declaração
- Unidos
- loja
- armazenadas
- Estratégico
- Tanga
- estrutura
- estruturada
- sucesso
- tal
- supply
- cadeia de suprimentos
- Suportado
- suspeito
- Interruptor
- .
- mesa
- Taiwan
- tomado
- toma
- Target
- visadas
- alvejando
- tem como alvo
- Tarefa
- tarefas
- Profissionais
- tecnologia
- Tecnologia
- terminal
- territórios
- do que
- que
- A
- as informações
- As Filipinas
- deles
- Eles
- si mesmos
- então
- Lá.
- assim sendo
- deles
- isto
- aqueles
- ameaça
- três
- Através da
- todo
- tempo
- linha do tempo
- timestamp
- para
- juntos
- token
- ferramenta
- kit de ferramentas
- Total
- Tradução
- verdadeiro
- Confiança
- dois
- tipo
- típico
- incapaz
- para
- compreender
- único
- Unido
- Estados Unidos
- universidade
- desconhecido
- os próximos
- Atualizações
- URL
- us
- usar
- usava
- Utilizador
- usuários
- usos
- utilização
- geralmente
- valor
- Valores
- Variante
- versão
- versões
- muito
- via
- Vítima
- vítimas
- Vietnã
- Visite a
- visitado
- Visitante
- visitantes
- Visitas
- foi
- we
- web
- Site
- sites
- BEM
- foram
- O Quê
- quando
- se
- qual
- QUEM
- Largo
- Ampla variedade
- largura
- Wikipedia
- precisarão
- Windows
- de
- dentro
- palavras
- escrito
- ainda
- zefirnet
- Zip