Nas últimas semanas, os pesquisadores detectaram uma campanha de phishing sofisticada dirigida a usuários na Rússia que combina enganos sociais com várias etapas de carga útil para obter controle total dos equipamentos e, em muitos casos, cifrar arquivos. A operação vale de documentos aparentemente administrativos, acessos a serviços em nuvem públicos e técnicas que buscam desativar as defesas nativas do Windows, o que a torna um exemplo claro de como os atacantes encadeiam ferramentas e serviços legítimos para evitar bloqueios. Para a análise técnica e exemplos concretos, consultar o relatório de Fortinet FortiGuard Labs em que se documenta o fluxo da infecção: Inside a multi-stage Windows malware campaign.
O ataque começa com um gancho clássico, mas efetivo: um arquivo comprimido que contém documentos de aparência inofensiva e um acesso direto do Windows (LNK) com nome em russo desenhado para parecer um .txt. Esse atalho esconde uma ordem de PowerShell que descarrega um script a partir de um repositório público no GitHub. A estratégia de usar serviços como o GitHub para scripts e o Dropbox para binários torna a infraestrutura resistente às eliminações rápidas, porque separar funções entre plataformas públicas complica a resposta por parte dos fornecedores e equipamentos de segurança.
O primeiro programa executado funciona como carregador leve: esconde a janela do PowerShell para que o usuário não perceba atividade, deixa uma cópia visível para manter a ilusão e, entretanto, notifica o operador através da API de bots do Telegram. Essa notificação é o sinal de que a fase inicial passou sem erros e que o atacante pode seguir com as etapas posteriores. A técnica de mostrar um documento legítimo à vítima enquanto executam silenciosamente ações maliciosas por trás é uma tática social que reduz a probabilidade de que a vítima interrompe o ataque.
Após um atraso deliberado, o carregador recupera e executa um arquivo Visual Basic fortemente ofuscado que constrói o próximo payload diretamente em memória. Ao montar o código em memória evitam deixar artefatos em disco e frustram muitas ferramentas de detecção tradicional. Se a carga não tiver privilégios elevados, o código incomoda o utilizador com quadros de controlo de contas até que possa ser aumentado; uma vez com permissões administrativas, é necessário desativar e proteger o ambiente para impedir a detecção e recuperação.
As medidas que o malware aplica são variadas e preocupantes: modifica exclusões e ajustes da Microsoft Defender, desactiva componentes de proteção adicionais mediante PowerShell, utiliza uma utilidade denominada Defendnot para registrar um falso produto de segurança no Centro de Segurança do Windows e assim provocar que Defender se desactive, e altera políticas no registro para inutilizar ferramentas administrativas e de diagnóstico. A Microsoft aconselha a ativar a proteção contra manipulações e monitorar mudanças invulgares no serviço para mitigar o abuso desta API; suas recomendações técnicas estão disponíveis na base de conhecimentos da Microsoft: Microsoft Defender vs Defendnot.
Além de neutralizar defesas, o ator descarrega módulos adicionais que coletam informações e filtram. Um módulo .NET captura regularmente e envia- as através do Telegram, outros componentes extraem credenciais armazenadas em navegadores, carteiras de criptomoedas e aplicativos como Discord, Steam ou Telegram, e também podem registrar áudio de microfone, imagens da webcam e conteúdo da área de transferência. Um dos artefatos finais é um troiano de acesso remoto conhecido como Amnesia RAT, recuperado do Dropbox, que fornece controle remoto total: enumeração e terminação de processos, execução de comandos, implantação de payloads adicionais e exfiltração de dados por HTTPS ou por serviços de alojamento externo. Fortinet descreve em detalhe estas capacidades na sua análise técnica: ver relatório de Fortinet.
A ameaça não se limita à espionagem: depois de deixar o sistema inerte contra ferramentas de defesa, os atacantes exibem uma variante de ransomware derivada da família Hakuna Matata que cifra documentos, código fonte, imagens e outros ativos. Antes da cifra, os processos que possam interferir com o seu funcionamento são terminados e, de forma silenciosa, o ransomware vigia a área de transferência para substituir endereços de criptomonederos por outras controladas pelos atacantes. O resultado final em muitas máquinas é perda de acesso a informações críticas e, em alguns casos, um bloqueio adicional da interface do usuário através de um componente tipo WinLocker.
Paralelamente, as equipas de resposta observaram campanhas relacionadas que usam técnicas e ferramentas diferentes, mas com objetivos semelhantes. Por exemplo, a operação denominada DupeHike, atribuída ao ator UNG0902 e documentada por Seqrite Labs, usa cogumelos sobre salários e políticas internas para induzir a execução de um implantador chamado DUPERUNNER que, por sua vez, descarrega o quadro AdaptixC2. Também apareceram campanhas de um ator conhecido como Paper Werewolf ou GOFFEE que usou cogumelos gerados por inteligência artificial e complementos XLL de Excel para entregar o backdoor EchoGather; Intezer explicou essa cadeia e o uso de WinHTTP na comunicação com o C2: Análise do Intezer.
O que podem fazer organizações e usuários frente a essa classe de campanhas? Não existe uma solução única, mas há várias práticas que reduzem o risco. A primeira linha de defesa é impedir a execução automática de código de documentos e acessos diretos que chegam por correio, e configurar políticas que limitem o uso de PowerShell e scripts em estações de trabalho que não o exijam. É importante ativar mecanismos de integridade nos antivírus, como a proteção contra manipulação que oferecem as soluções modernas, e aplicar controles de aplicação que evitem a execução de binários desde locais temporários ou de usuário. A segmentação da rede e a segregação de contas com privilégios, juntamente com cópias de segurança offline de dados críticos, reduzem o impacto se ocorrer uma cifra em massa. A Microsoft e outros fornecedores publicam guias específicos para mitigar abusos da plataforma e recomendações operacionais, e as equipes de segurança devem rever esses recursos e alertas regularmente.
Se uma organização suspeita que tenha sido comprometida por esta família de ameaças, as ações imediatas devem incluir o isolamento de hosts afetados para cortar a exfiltração, a coleta de evidências a quente com cuidado para não destruir traços, a rotação de credenciais e a notificação às entidades reguladoras e bancárias relevantes se dados financeiros têm estado em risco. Um plano de resposta ensaiado e a colaboração com prestadores de serviços de segurança podem acelerar a recuperação. Para compreender o abuso concreto de Defendnot e como detectá-lo, as equipes podem se referir à análise de Binary Defense e a materiais de resposta publicados por fornecedores de EDR e SOCs: Defendnot: turning Windows Defender against itself.
A lição técnica e operacional destes incidentes é clara: os atacantes modernos conseguem compromissos totais sem explorar falhas de software, aproveitando em seu lugar o abuso de funcionalidades legítimas do sistema e serviços na nuvem. Isso obriga a combinar tecnologia com processos e formação; o usuário que recebe um ZIP com um LNK não deve abri-lo por defeito, e os administradores devem monitorar mudanças em políticas de segurança e nos indicadores de telemetria que anunciem execução de PowerShell não autorizada, conexões a repositórios públicos incomuns ou tráfego para serviços de mensagens e alojamento de arquivos desde estações que nunca os usam. A visibilidade, a prevenção e um plano de resposta são a melhor defesa contra estas cadeias de ataque complexas.
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
RAMPART e Clarity redefinem a segurança dos agentes da IA com testes reprodutíveis e governança desde o início
A Microsoft apresentou duas ferramentas de código aberto, RAMPART e Clarity, que visam alterar a forma como a segurança dos agentes da IA é testada: uma máquina de computador e ...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...