Um novo caso de intrusão detectado por caçadores de ameaças volta a colocar o foco em uma combinação de engenharia social e técnicas avançadas de evasão que, juntas, facilitam ataques rápidos e silenciosos dentro de redes corporativas. Pesquisadores de Huntress documentaram como atores maliciosos se fizeram passar por suporte técnico para convencer funcionários de que abrissem sessões de acesso remoto, e a partir daí implantaram o framework de comando e controle conhecido como Havoc com o objetivo aparente de exfiltrar dados ou preparar um ataque de ransomware.
A cadeia de ataque que descrevem os analistas começa com uma campanha de e-mail em massa projetada não só para pescar credenciais, mas para saturar bandejas de entrada e preparar o terreno para uma chamada telefônica convincente. O telefone não é um detalhe menor: os atacantes chamam a passar pela mesa de ajuda e persuade a vítima para permitir acesso remoto à equipe através de ferramentas legítimas como Quick Assist ou aplicações de ecrã remoto como AnyDesk. Uma vez dentro, o intruso não perde tempo: abre o navegador e guia ao usuário para uma página falsa alojada na nuvem que imita um serviço da Microsoft para “atualizar” regras antispam no Outlook.
Esse site apócrifo pede o e-mail e, ao carregar em um botão de "atualização de configuração", executa um programa que mostra uma sobreposição pedindo a senha. Com esse duplo movimento os atacantes conseguem dois objetivos simultâneos: obter credenciais e reforçar a sensação de legitimidade da operação, o que facilita a colaboração da vítima. O suposto adesivo anti-spam que é baixado não é benévolo: o que aparenta ser um instalador legítimo executa um binário confiável - por exemplo, DNAotificationManager.exe ou binários do sistema - que por sua vez sedeloadea um DLL maliciosa. Esse DLL atua como porta de entrada para carregar o shellcode de Havoc e implantar o agente conhecido como Demon.
Os detalhes técnicos do payload mostram uma clara abordagem em burlar defesas: algumas das DLL identificadas continham ofuscação do fluxo de controle, ciclos de retardo por temporização e técnicas sofisticadas como Halo's Gate e outras variações de "Hell's Gate" para prender funções de ntdll.dll e contornar hooks de EDR em espaço de usuário. Para contextualizar este tipo de táticas, existem explicações técnicas sobre como se evaden os hooks de EDR e as implicações para a detecção em ambientes corporativos em análise como o de MalwareTech e estudos de pesquisa sobre cadeias de enganche no ntdll.
Depois de estabelecer o “beachhead”, os atacantes se movem rapidamente. Huntress documentou casos em que a intrusão inicial se expandiu a múltiplos endpoints em questão de horas, combinando execução de comandos manual por atacante com implantação automatizado para persistência. As técnicas para se manter dentro da rede incluíram a criação de tarefas programadas que relançam o agente após cada reinício e, por vezes, a instalação de ferramentas legítimas de gestão remota como Level RMM ou XEOX para diversificar pontos de persistência e complicar a remediação.
O padrão de ataque lembra as operações prévias atribuídas a grupos de ransomware que abusaram de campanhas de “email bombing” e phishing pela Microsoft Teams para forçar ações, e levanta duas hipóteses sobre sua origem: ou ex afiliados de grupos como Black Basta estão aplicando o mesmo livreto em novos projetos criminosos, ou outras bandas adotaram esse playbook porque funcionou. Seja qual for o caso, a lição é clara: táticas que antes se consideravam domínio de atores altamente sofisticados estão se tornando mais acessíveis e comuns para grupos de crime organizado que buscam acesso inicial e persistência rápida.
Além do componente técnico, o ponto mais preocupante é a normalização da engenharia social telefônica e a disposição dos atacantes a chamar números pessoais para melhorar a probabilidade de sucesso. Quando uma chamada aparentemente credível abre a porta, técnicas complexas de evasão e carga de malware convertem essa entrada em um compromisso com alcance lateral e risco de exfiltração ou criptografia em massa de dados.
Para se defender neste cenário, há que combinar medidas humanas e técnicas: é imprescindível educar funcionários para verificar a identidade de quem chama antes de permitir acesso a suas equipes e que desconfíem de pedidos urgentes que impliquem conceder controle remoto ou introduzir credenciais em páginas incomuns. Desde a camada tecnológica, a adoção de autenticação multifator, a supervisão de tarefas programadas, o controle estrito sobre a instalação de software e a capacidade de soluções de segurança para detectar comportamentos anormais em vez de apenas assinaturas estáticas são barreiras que reduzem o sucesso desses ataques. As agências de cibersegurança, como CISA, publicam guias e alertas úteis sobre como mitigar riscos ligados ao ransomware e compromissos iniciais por engenharia social.
Este incidente é um lembrete de que a segurança não é apenas um assunto de ferramentas: é uma disciplina que exige processos, verificação humana e visão de defesa em profundidade. A combinação de um engano telefónico convincente, o abuso de utilidades legítimas e técnicas avançadas de evasão produz um inimigo capaz de entrar com muita sutileza e mover-se rapidamente dentro de uma rede. Manter-se alerta, revisar procedimentos de acesso remoto e preparar planos de resposta que contemplem remediação rápida são passos indispensáveis para minimizar o dano quando esses esquemas voltam a aparecer.
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
RAMPART e Clarity redefinem a segurança dos agentes da IA com testes reprodutíveis e governança desde o início
A Microsoft apresentou duas ferramentas de código aberto, RAMPART e Clarity, que visam alterar a forma como a segurança dos agentes da IA é testada: uma máquina de computador e ...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...