Anúncios maliciosos – Um grupo de cibercriminosos conhecido como Velvet Tempest tem utilizado anúncios maliciosos e falsos sistemas de verificação para invadir redes empresariais e instalar uma cadeia sofisticada de malwares. O alerta foi divulgado em março pela empresa de cibersegurança MalBeacon, que monitorou a atuação dos invasores durante 12 dias em um ambiente com mais de 3 mil computadores.
Identificado também como DEV-0504, o Velvet Tempest atua há pelo menos cinco anos no ecossistema de ransomware, modelo de ataque em que dados são bloqueados e só liberados com pagamento. O grupo opera como afiliado, utilizando ferramentas desenvolvidas por terceiros e participando dos lucros obtidos com os resgates. Ao longo do tempo, deixou indícios de participação em campanhas envolvendo ransomwares já conhecidos.
LEIA: IA amplia produção cultural enquanto fragiliza criadores
A estratégia de invasão começa com o chamado malvertising, em que anúncios online direcionam a vítima para páginas fraudulentas. Nessas páginas, os criminosos combinam duas técnicas: um CAPTCHA falso e instruções para que o usuário execute um comando no sistema operacional, acreditando se tratar de uma verificação legítima. Ao seguir o procedimento, a própria vítima ativa o código malicioso sem perceber.
Esse código é propositalmente ofuscado e aciona uma sequência de processos que utilizam ferramentas legítimas do Windows, prática conhecida como “living off the land”. Ao recorrer a recursos já confiáveis do sistema, os invasores reduzem as chances de detecção pela segurança. Entre os utilitários explorados está o finger.exe, usado para baixar arquivos iniciais disfarçados.
Após a invasão, operadores humanos passam a atuar diretamente na rede comprometida, o que amplia o risco por permitir decisões em tempo real. Os criminosos realizam reconhecimento da estrutura interna da organização, incluindo o mapeamento do Active Directory, sistema que gerencia usuários e permissões. Esse acesso permite identificar contas privilegiadas e expandir a movimentação dentro da rede.
Também foi identificado o uso de scripts em PowerShell para coletar senhas armazenadas no navegador Google Chrome. Parte dessa infraestrutura foi associada ao ransomware Termite, indicando possível compartilhamento de ferramentas entre diferentes grupos criminosos.
Nos estágios finais, dois tipos de malware foram implantados: um loader que executa código diretamente na memória, dificultando a detecção, e um trojan de acesso remoto, capaz de controlar o computador da vítima à distância. Para garantir persistência, componentes foram instalados em diretórios comuns do sistema, camuflando a atividade maliciosa.
Apesar da complexidade do ataque, o ransomware não chegou a ser ativado neste caso específico. Segundo os pesquisadores, não está claro se a ação foi interrompida a tempo ou se o grupo ainda estava em fase preparatória antes de executar a extorsão.
(Com informações de Tecmundo)
(Foto: Reprodução/Freepik/Muhammad.abdullah)
