Um grupo de cibercriminosos rastreado como Velvet Tempest está usando anúncios maliciosos e uma falsa verificação de segurança para ganhar acesso a redes corporativas e implantar um conjunto sofisticado de malwares.
O alerta foi publicado no último mês de março pela empresa de cibersegurança MalBeacon, que observou as ações dos criminosos durante 12 dias em um ambiente monitorado. Ele simulava uma organização sem fins lucrativos americana com mais de 3.000 computadores.
smart_display
Nossos vídeos em destaque
Quem é o Velvet Tempest
O Velvet Tempest, também identificado como DEV-0504, é um grupo com pelo menos cinco anos de atividade no ecossistema criminoso de ransomware. Ransomware é um tipo de software malicioso que cifra os arquivos de uma organização, tornando-os completamente inacessíveis, e exige pagamento para devolver o acesso.
O grupo não cria o ransomware do zero. Ele atua como afiliado, um modelo em que os criminosos fazem acordo com os desenvolvedores do malware, usam a ferramenta e ficam com uma parte do resgate obtido.
Por esse caminho, o Velvet Tempest deixou rastros em algumas das campanhas de ransomware nos últimos anos, incluindo Ryuk, REvil, Conti, BlackCat/ALPHV, LockBit e RansomHub.
A porta de entrada
O ataque começa com malvertising, uma técnica de publicidade maliciosa, na qual os criminosos pagam por anúncios online que levam a vítima a uma página falsa. Não é preciso fazer nada fora do comum.
Essa página usa duas camadas de engano combinadas. A primeira é um falso CAPTCHA, aquele sistema de verificação que sites usam para confirmar se quem acessa é humano ou um robô automatizado.
A segunda é a técnica ClickFix, que instrui a vítima a abrir o Windows Run, a pequena janela de execução do sistema operacional acessada com Win+R, e colar um comando que já foi copiado automaticamente para a área de transferência do computador.
A página apresenta isso como uma etapa de verificação normal. A vítima cola o comando e, sem saber, executa código malicioso diretamente no próprio sistema.
Como o ataque avança sem ser detectado
O comando colado é ofuscado, ou seja, escrito de forma propositalmente ilegível para dificultar que ferramentas de segurança ou humanos entendam o que ele faz. A execução dispara uma série de processos encadeados usando ferramentas legítimas do próprio Windows.
Essa estratégia é chamada de Living off the Land, ou “viver da terra”. A lógica é usar ferramentas que o sistema operacional já considera confiáveis, os criminosos reduzem muito as chances de serem detectados por antivírus.
Uma das ferramentas abusadas é o finger.exe, um utilitário antigo do Windows criado originalmente para consultar informações sobre usuários em redes remotas.
Por ser raramente monitorado, ele foi usado para baixar os primeiros loaders, que são programas maliciosos cuja função é não causar dano direto, mas baixar e executar outros malwares mais complexos. Um dos primeiros arquivos baixados no computador da vítima era um arquivo comprimido disfarçado de PDF.
O que os criminosos fazem depois de entrar
Após o acesso inicial, operadores humanos assumem o controle direto. Esse tipo de atuação, chamado de hands-on keyboard no jargão da área, é especialmente perigoso porque um humano especializado consegue se adaptar a obstáculos e tomar decisões em tempo real, algo que scripts automatizados não conseguem.
Dentro da rede da vítima, o grupo realizou reconhecimento do Active Directory, que é o sistema da Microsoft responsável por gerenciar usuários, computadores e permissões em redes corporativas.
Quem mapeia o Active Directory de uma organização tem acesso ao “mapa de poder” da estrutura, conseguindo identificar quais contas têm mais privilégios e por onde é possível se mover pela rede.
Os criminosos também usaram um script em PowerShell, uma linguagem de automação nativa do Windows, para roubar senhas salvas no navegador Google Chrome.
Esse script estava hospedado em um endereço IP que pesquisadores associaram à infraestrutura do ransomware Termite, o mesmo grupo que já atacou a provedora de software Blue Yonder e a clínica de fertilização australiana Genea. Isso indica que diferentes grupos criminosos compartilham ferramentas e infraestrutura entre si.
Os dois malwares implantados
Nos estágios finais, o Velvet Tempest implantou dois programas maliciosos no ambiente da vítima. O primeiro é o DonutLoader, um loader sofisticado que injeta código diretamente na memória dos processos em execução, sem criar arquivos no disco. Essa técnica é chamada de execução fileless, ou “sem arquivo”.
Ferramentas de segurança tradicionais focam em analisar arquivos e, quando não há arquivo para analisar, a detecção se torna muito mais difícil.
O segundo é o CastleRAT, um RAT, sigla para Remote Access Trojan, que em português significa trojan de acesso remoto. Um RAT permite que o atacante controle o computador da vítima à distância, visualizando a tela, executando comandos, transferindo arquivos e capturando tudo que é digitado.
O CastleRAT está associado ao CastleLoader, um loader conhecido por distribuir múltiplas famílias de malware, incluindo o LummaStealer, um programa especializado em roubar credenciais, cookies de sessão e carteiras de criptomoeda.
Para garantir que os malwares continuassem ativos mesmo após reinicializações, componentes baseados em Python foram instalados na pasta C:\ProgramData, um diretório que o Windows reserva para aplicativos legítimos, o que ajuda a camuflar a presença maliciosa.
O golpe que não veio
O modelo de ataque habitual do Velvet Tempest é de dupla extorsão. Os criminosos primeiro roubam os dados da organização e depois cifram tudo. Assim, mesmo que a vítima tenha backup, o grupo ainda ameaça publicar o que foi roubado. Duas alavancas de pressão ao mesmo tempo.
Nessa intrusão específica, porém, o ransomware Termite não chegou a ser implantado. Os pesquisadores da MalBeacon não concluíram se isso se deve ao fato de o ataque ter sido interrompido pela detecção ou se o grupo ainda estava em fase de reconhecimento antes do golpe final.
Acompanhe o TecMundo nas redes sociais. Para mais notícias de segurança e tecnologia, inscreva-se em nossa newsletter e canal do YouTube.
FonteTECMUNDO
