Um novo giro nas táticas dos cibercriminais volta a colocar em guarda as equipes de segurança: segundo um relatório recente, o coletivo conhecido como Scattered LAPSUS$ Hunters (SLH) estaria recrutando deliberadamente mulheres para realizar campanhas de vishing dirigidas aos departamentos de suporte técnico, oferecendo entre 500 e 1.000 dólares por chamada e facilitando programas já preparados para enganar os operadores. A assinatura de inteligência Dataminr descreveu esta iniciativa como uma aposta em diversificar e afinar sua “modelo social” com o objetivo de aumentar as chances de sucesso ao suplantar os funcionários diante dos centros de ajuda segundo o seu relatório.
Por trás do acrónimo SLH encontra-se uma amalgama de atores que já demonstraram sua capacidade para explorar fraquezas humanas e tecnológicas. Grupos como LAPSUS$, Scattered Spider e ShinyHunters foram ligados entre si em operações que combinam chamadas convincentes, engenharia social muito trabalhada e técnicas para sortear autenticações multipaso. A estratégia é simples na sua abordagem: conseguir que o pessoal de help desk faça um restabelecimento de credenciais ou instale uma ferramenta de acesso remoto (RMM), o que abre a porta para movimentos laterais, elevação de privilégios e roubo massivo de dados, mesmo com implantação posterior de ransomware.
Os analistas que seguem estes atores apontam que não se limitam à burda suplantação telefônica. Para camuflar a sua atividade e evitar alarmes, empregam serviços legítimos e redes de proxies residenciais - mecanismos que lhes permitem misturar o seu tráfego com tráfego “normal” - e utilizam túneis e serviços de intercâmbio de arquivos públicos para exfiltrar informações. Ferramentas como Ngrok, Teleport e serviços de armazenamento temporário surgiram nas pesquisas, bem como plataformas de proxies comerciais que dificultam o rastreamento da infraestrutura do atacante. Um perfil técnico mais detalhado destas práticas pode ser consultado em análise especializada como o de Team Cymru.
A capacidade destes grupos para explorar o fator humano levou a assinaturas de cibersegurança como Palo Alto Networks Unit 42 publicarem seguimentos nos quais descrevem Scattered Spider (seguido por Unit 42 sob o nome “Muddled Libra”) como um ator muito hábil em manipular a psicologia humana. Unit 42 documenta casos em que, após obter credenciais privilegiadas por telefone, os atacantes criam máquinas virtuais para realizar reconhecimento do Active Directory e extrair caixas de correio ou dados de plataformas na nuvem como Snowflake; operações que combinam a suplantação com técnicas de movimento lateral e exfiltração silenciosa. Seu dossier técnico e recomendações estão disponíveis no playbook publicado por Unit 42 aqui, e em outros documentos onde se explica como rastrear essas ameaças através de registros na nuvem aqui.
Uma faceta técnica recorrente nestes ataques é a busca de formas de contornar a autenticação multifator (MFA). Práticas como o “prompt bombing” –saturar notificações de MFA até que um usuário clique em aceitar por erro – e a troca de SIM são ferramentas no arsenal desses grupos. Para entender melhor essa técnica e seu impacto nas defesas, existem explicações detalhadas em recursos especializados como os de Silverfort.
Diante desta evolução, as equipes de segurança e os departamentos de suporte técnico devem olhar além das soluções puramente tecnológicas. A formação e os procedimentos são peças-chave: o pessoal de help desk precisa estar preparado para detectar programas preparados, chamadas muito pulidas e técnicas destinadas a provocar confiança rápida. Ao mesmo tempo, as organizações têm de endurecer suas políticas de acesso: abandonar os fatores baseados em mensagens SMS por métodos resistentes a phishing, implementar controles rigorosos para a criação de contas administrativas, e auditar de forma sistemática qualquer elevação de privilégios após uma interação telefônica.
Os controlos técnicos complementam a formação. A monitoração de logs na nuvem pode permitir detectar movimentos anormais após uma chamada ao suporte; limitar a possibilidade de instalar ferramentas RMM sem aprovação prévia reduz vetores de compromisso; e o emprego de autenticação phishing-resistant, como chaves FIDO2 ou soluções baseadas em certificados, diminui drasticamente a eficácia das tentativas de suplantação. Organismos oficiais e centros de resposta recomendam combinar medidas de sensibilização com configurações robustas de identidade: as diretrizes de NIST sobre identidade digital oferecem marcos para projetar políticas MFA e verificação de identidade consultar aqui, e o CERT/CISA mantém conselhos práticos sobre como identificar e mitigar técnicas de engenharia social disponíveis aqui.
Não é apenas uma questão de levantar barreiras técnicas: a pressão do mercado de trabalho e a oferta de recompensas económicas por chamada criam um ambiente onde a engenharia social se profissionaliza e diversifica. Dataminr interpreta este recrutamento focalizado em vozes femininas como uma estratégia calculada para sortear estereótipos e vieses na detecção humana, tornando-se mais difícil para os operadores distinguir um pedido legítimo de uma operação maliciosa. Esta adaptação é uma chamada de atenção: os atacantes não só inovam em código, também em táticas humanas e logísticas.
A conclusão é clara e, infelizmente, previsível: a segurança moderna exige uma combinação de formação sustentada, processos rigorosos e tecnologias que reduzam a dependência na verificação por voz ou por SMS. Seguir as investigações e as orientações das empresas de inteligência e centros de investigação — como as análises de Unit 42 ou avisos Dataminr — ajuda a compreender o padrão e, acima de tudo, a conceber respostas práticas que reduzam a superfície de ataque destes grupos.
Se a sua organização depende de equipamentos de suporte telefônico, agora mesmo convém rever quem pode aprovar mudanças críticas, como a identidade de quem chama e quais sinais nos registros podem delatar uma suplantação. A ameaça é real e está em evolução; a melhor resposta é antecipar-se com formação, procedimentos e controles técnicos que façam com que essa aposta por recrutar vozes humanas deixe de ser rentável para os atacantes.
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...
PinTheft o exploit público que pode ser root no Arch Linux
Um novo exploit público levou à superfície novamente a fragilidade do modelo de privilégios no Linux: a equipe de V12 Security baniu a falha como PinTheft e publicou um teste de...