Cibercriminosos recorreram a plataformas legítimas como GitHub, Quora, Microsoft Learn Challenge e redes sociais para lançar ataques sofisticados contra empresas em vários países.
A Kaspersky revelou que a operação, em curso desde 2024, visava instalar o Cobalt Strike Beacon, um software malicioso que permite controlar computadores, roubar dados e manter acesso prolongado a redes corporativas.
Os ataques, registados no segundo semestre de 2024 e que se prolongaram até 2025, tiveram como alvo organizações na China, Japão, Malásia, Peru e Rússia, sobretudo empresas de média e grande dimensão.
Para se infiltrar nos sistemas, os atacantes enviaram e-mails de phishing direcionado, disfarçados de comunicações legítimas de grandes empresas estatais, principalmente do setor do petróleo e gás. As mensagens simulavam pedidos de informação sobre produtos e serviços e incluíam anexos maliciosos – supostos ficheiros PDF que, na realidade, escondiam executáveis (EXE e DLL) infetados com malware.
Segundo a Kaspersky, os criminosos exploraram o Send Utility, um utilitário de reporte de falhas, e utilizaram técnicas de sequestro de DLL para ativar o código malicioso. Esse código estava encriptado e distribuído em perfis criados especificamente para o ataque em plataformas populares como GitHub, Microsoft Learn Challenge, fóruns de perguntas e respostas e até redes sociais russas. Uma vez executado, permitia o lançamento do Cobalt Strike Beacon, comprometendo os sistemas das vítimas.
“Apesar de não termos encontrado nenhuma evidência de que os atacantes tenham usado perfis reais de pessoas nas redes sociais, já que todas as contas foram criadas especificamente para este ataque, nada impede que o agente da ameaça abuse dos vários mecanismos que essas plataformas oferecem. Por exemplo, sequências de conteúdo malicioso podem ser publicadas nos comentários das publicações de utilizadores legítimos. Os criminosos estão a utilizar métodos cada vez mais complexos para ocultar ferramentas conhecidas há muito tempo, e é importante manter-se atualizado com as informações mais recentes sobre ameaças para se proteger contra esses ataques”, afirma Maxim Starodubov, líder da equipa de analistas de malware da Kaspersky.
A empresa refere que o método de recuperação do código malicioso apresenta semelhanças com a campanha EastWind, anteriormente atribuída a agentes de língua chinesa.
Para mitigar riscos, a Kaspersky recomenda que as organizações monitorizem continuamente a sua infraestrutura digital, adotem soluções de segurança capazes de detetar malware em e-mails, reforcem a formação em cibersegurança dos colaboradores e implementem sistemas de proteção que bloqueiem ataques nas fases iniciais.
