Em uma operação recente documentada pela assinatura de inteligência em enganos cibernéticos MalBeacon, o grupo de ransomware conhecido como Velvet Tempest (também rastreado como DEV-0504) usou uma mistura de enganos sociais e ferramentas legítimas do Windows para introduzir e executar cargas maliciosas em uma rede alvo. A intrusão combinou uma campanha de malvertising com uma técnica de engenharia social conhecida como "ClickFix", o abuso de utilidades nativas do sistema e loaders em memória, o que permitiu aos atacantes chegar a um backdoor avançado sem necessidade de um arquivo executável tradicional em disco.
A técnica ClickFix é baseada em enganar o usuário para colar no quadro Executar do Windows (Win+R) um comando ofuscado que parece inofensivo, mas que desencadeia uma cadeia de processos. Na observação de MalBeacon, o cebado partiu de anúncios maliciosos e uma tela tipo CAPTCHA que persuadia a vítima a realizar a ação. Esse simples gesto activou cadeias aninhadas de cmd.exe, que por sua vez invocaram utilitários como finger.exe para recuperar os primeiros “stagers”. É um exemplo claro de como os atacantes evitam anexos maliciosos diretos e, em vez disso, exploram a interação humana e programas legítimos do sistema. Mais detalhes da análise podem ser consultados na nota de MalBeacon: MalBeacon.
Uma vez dentro, os operadores realizaram atividade manual (hands-on-keyboard): reconhecimento do Active Directory, descoberta de hosts e mapeamento do ambiente. Usaram o PowerShell para obter comandos adicionais e executaram um programa destinado a extrair credenciais armazenadas pelo navegador Chrome, um comportamento que se encaixa com técnicas conhecidas de roubo de credenciais a partir de navegadores ( MITRE ATT&CK T1555.002). Parte do malware inicial foi distribuído em um arquivo comprimido disfarçado como PDF e em etapas posteriores o grupo compilou componentes .NET em pastas temporárias com csc.exe e desenvolveu módulos em Python para estabelecer persistência em C:\ProgramData.
Na fase de postura, os atacantes usaram DonutLoader para executar código em memória e finalmente baixaram CastleRAT, um troiano de acesso remoto que geralmente está associado a um ecossistema de loaders como CastleLoader e famílias de info-stealers. O uso de loaders em memória como Donut permite executar binários .NET sem criar executáveis evidentes em disco, dificultando a detecção tradicional; o projeto Donut, que implementa essa técnica, está documentado publicamente no GitHub: Donut (GitHub).
MalBeacon registrou esta campanha num ambiente simulado que replicava a infraestrutura de uma organização americana sem fins lucrativos com mais de 3.000 endpoints e cerca de 2.500 usuários, durante um período de 12 dias entre 3 e 16 de fevereiro. Embora o Velvet Tempest tenha um histórico prolongado atuando como afiliado em campanhas de dupla extorsão e tenha sido vinculado a implantaçãos de famílias de ransomware muito conhecidas nos últimos anos, neste exercício específico os operadores não detonaram o ransomware Termite que às vezes se associam. Essa ausência sublinha que a fase de intrusão pode ser utilizada tanto para roubo de informações como para preparação de uma execução posterior: os atacantes podem modular seu objetivo segundo a oportunidade e a resposta do defensor.
O comportamento observado exemplifica duas tendências que vemos frequentemente em ataques recentes: por um lado, o abuso de utilidades nativas do sistema e compiladores locais (o que a comunidade chama de "living-off-the-land"), e, por outro, o uso de enganos sociais que pedem à vítima realizar ações manuais simples mas perigosas. MITRE agrupa muitas dessas técnicas sob categorias como o uso de intérpretes de comando e o abuso de binários legítimos: T1059 - Command and Scripting Interpreter e T1218 - System Binary Proxy Execution.
Além disso, a prática de incorporar componentes .NET compilados temporariamente e executar cargas em memória complica a detecção por assinaturas e obriga os equipamentos de segurança a se apoiarem mais em telemetria de comportamento e em sinais de anomalia (por exemplo, csc.exe que cria montados incomuns em diretórios temporais, execuções repetidas de PowerShell com ofuscação ou processos que descarregam payloads a partir de IPs pouco reputadas). As autoridades e agências de segurança pública recomendam reforçar a defesa com medidas como segmentação de redes, políticas rigorosas de execução, monitoramento de processos críticos e programas de sensibilização para evitar ações como colar comandos no quadro Executar; as guias de CISA sobre ransomware e medidas defensivas oferecem orientação prática: CISA - Ransomware Guidance.
Finalmente, não é um caso isolado que grupos de ransomware e afiliados adotaram o truque ClickFix: relatórios da indústria documentaram outras bandas que usam variantes desta engenharia social para conseguir entrada em redes corporativas. Um exemplo recente que vinculou uma campanha semelhante à banda Interlock foi relatada por Sekoia, que destaca como técnicas aparentemente simples podem esquivar controles se o fator humano não estiver preparado: Sekoia - Blog.
Se houver uma lição clara, a segurança já não depende apenas de bloquear arquivos maliciosos: a combinação de sinais humanos, ferramentas válidas do sistema e loaders em memória exige uma estratégia de defesa em profundidade que abarque tecnologia, processos e formação. As organizações devem priorizar detecção baseada em comportamento, proteger e auditar acessos privilegiados, e educar usuários para que não executem comandos recebidos por canais não verificados. Para profissionais que queiram aperfeiçoar detecções, prestar atenção a downloads de endereços de staging suspeitos, ao aparecimento de compilações .NET inesperadas e a persistências criadas em locais pouco habituais como C:\ProgramData é geralmente um bom ponto de partida.
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
RAMPART e Clarity redefinem a segurança dos agentes da IA com testes reprodutíveis e governança desde o início
A Microsoft apresentou duas ferramentas de código aberto, RAMPART e Clarity, que visam alterar a forma como a segurança dos agentes da IA é testada: uma máquina de computador e ...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...