Um método sofisticado de ataque cibernético, orquestrado pelo grupo conhecido como Velvet Tempest, tem explorado anúncios maliciosos e simulações de verificações de segurança para violar redes corporativas. Esta estratégia visa implantar uma complexa gama de malwares, conforme detalhado em um alerta emitido em março pela empresa de cibersegurança MalBeacon. A observação minuciosa das táticas do grupo foi conduzida durante 12 dias em um ambiente controlado que replicava uma organização sem fins lucrativos americana com uma infraestrutura de mais de 3.000 computadores.
Velvet Tempest: Uma Ameaça Consolidada no Ecossistema Ransomware
Conhecido também pela identificação DEV-0504, o Velvet Tempest representa uma força atuante no cenário do ransomware por, no mínimo, cinco anos. Este grupo não se dedica ao desenvolvimento de ransomware do zero, mas opera sob um modelo de afiliação. Nele, os cibercriminosos firmam acordos com os criadores de malwares, utilizando suas ferramentas e retendo uma parcela do pagamento de resgate exigido das vítimas. Essa abordagem estratégica permitiu ao Velvet Tempest deixar sua marca em diversas campanhas de grande repercussão nos últimos anos, incluindo incidentes associados a nomes como Ryuk, REvil, Conti, BlackCat/ALPHV, LockBit e RansomHub.
A Porta de Entrada: Malvertising e Engano em Duas Camadas
O ponto de partida para essas intrusões é o malvertising, uma prática na qual os criminosos pagam por anúncios online legítimos que, no entanto, redirecionam as vítimas para páginas falsificadas. Uma vez na página enganosa, o ataque se desenrola através de uma dupla camada de artifícios. A primeira consiste em um falso CAPTCHA, uma verificação de segurança projetada para parecer um procedimento padrão de confirmação de usuário humano. Superada essa etapa, a vítima é então instruída por meio da técnica ClickFix, que a orienta a abrir a função 'Executar' do Windows (Win+R) e a colar um comando que já foi secretamente copiado para a área de transferência do computador. Este passo é apresentado como uma parte normal do processo de verificação, levando a vítima a executar código malicioso diretamente em seu sistema, sem conhecimento.
Estratégias de Evasão: O Ataque Indetectável com 'Living off the Land'
Após a execução inicial, o comando colado é ofuscado, ou seja, deliberadamente codificado de forma ilegível para dificultar a análise por ferramentas de segurança ou analistas humanos. A partir daí, uma série de processos é desencadeada, fazendo uso de ferramentas legítimas do próprio sistema operacional Windows. Essa tática é conhecida como 'Living off the Land' (LotL), ou 'viver da terra', e tem como objetivo reduzir drasticamente as chances de detecção por antivírus, ao abusar de utilitários que o sistema já considera confiáveis. Um exemplo notável é o abuso do 'finger.exe', um utilitário antigo do Windows projetado para consultar informações de usuários em redes remotas, que por ser raramente monitorado, é usado para baixar os primeiros 'loaders'. Estes programas maliciosos não causam dano direto, mas servem para baixar e executar malwares mais complexos, sendo um dos primeiros arquivos, por exemplo, um arquivo comprimido disfarçado de PDF.
Controle Pós-Invasão: Operadores Humanos e Reconhecimento Profundo
Superada a fase de acesso inicial, a operação passa para o controle direto de operadores humanos, uma tática conhecida como 'hands-on keyboard'. Essa abordagem é particularmente perigosa, pois permite que especialistas se adaptem a obstáculos, tomem decisões em tempo real e explorem vulnerabilidades de forma dinâmica, algo inviável para scripts automatizados. Dentro da rede comprometida, o Velvet Tempest realiza um reconhecimento exaustivo do Active Directory, o sistema da Microsoft que gerencia usuários, computadores e permissões. Mapear o Active Directory oferece aos criminosos um 'mapa de poder' da organização, identificando contas privilegiadas e rotas de movimentação lateral. Adicionalmente, foi observado o uso de um script em PowerShell, uma linguagem de automação nativa do Windows, para subtrair senhas armazenadas no navegador Google Chrome. Curiosamente, este script estava hospedado em um endereço IP previamente associado à infraestrutura do ransomware Termite – grupo responsável por ataques à Blue Yonder e à Genea, uma clínica de fertilização australiana – indicando uma possível partilha de ferramentas e infraestrutura entre diferentes grupos criminosos.
Implantação Final: DonutLoader e CastleRAT
Nas etapas derradeiras do ataque, o Velvet Tempest implanta dois programas maliciosos cruciais no ambiente da vítima. O primeiro é o DonutLoader, um loader avançado capaz de injetar código diretamente na memória dos processos em execução, sem criar arquivos no disco. Essa técnica, conhecida como execução 'fileless' (sem arquivo), representa um desafio significativo para as ferramentas de segurança tradicionais, que primariamente analisam arquivos para detectar ameaças. O segundo malware é o CastleRAT, um Trojan de Acesso Remoto (RAT). Um RAT concede aos atacantes controle completo sobre o computador da vítima à distância, permitindo visualizar a tela, executar comandos e manipular o sistema como se estivessem fisicamente presentes.
Medidas Essenciais de Defesa
A sofisticação e a adaptabilidade das táticas do Velvet Tempest sublinham a necessidade crítica de defesas cibernéticas robustas. A combinação de malvertising, técnicas de engenharia social elaboradas e o abuso de ferramentas legítimas do sistema operacional exige uma abordagem de segurança multifacetada. Organizações devem investir em conscientização contínua de seus colaboradores, implementar soluções avançadas de detecção e resposta (EDR), e manter uma postura de segurança de 'confiança zero'. A capacidade dos cibercriminosos de operar em camadas, da isca inicial à implantação de RATs, serve como um alerta contundente sobre a evolução constante das ameaças digitais e a imperatividade de uma defesa proativa e vigilante.
Fonte: https://www.tecmundo.com.br
