Os investigadores da Expel têm vindo a acompanhar as atividades do grupo Rhysida e detalham que a campanha está ativa desde junho deste ano, após uma primeira versão que decorreu entre maio e setembro de 2024.

Não perca nenhuma notícia importante da atualidade de tecnologia e acompanhe tudo em tek.sapo.pt

De acordo com os especialistas, a primeira fase da campanha tem como objetivo infetar os equipamentos das vítimas com um malware chamado OysterLoader, também conhecido como Broomstick ou CleanUpLoader.

No entanto, este não é o único software malicioso usado pelo grupo. Além do OysterLoader, que abre a “porta” aos atacantes, os investigadores verificaram que a campanha também usa o malware Latrodectus, que funciona de modo semelhante.

A campanha baseia-se num modelo de malvertising, com os cibercriminosos a comprarem anúncios no motor de pesquisa Bing para levar as vítimas para páginas falsas que “escondem” conteúdo malicioso.

Ao acederem a estas páginas e ao clicarem nos links para fazer o que pensam ser o download do Teams, as vítimas acabam por instalar malware nos seus computadores.

Em declarações ao website The Register, Aaron Walton, analista da Expel, explica que, para evitar possíveis deteções, o grupo usa uma ferramenta que permite esconder o verdadeiro código do malware.

Além disso, os cibercriminosos também recorrem a certificados de assinatura de código para enganar o Windows e fazer com que os ficheiros maliciosos pareçam de confiança. No ano passado, a primeira versão da campanha já tinha usado sete certificados. Na mais recente versão, o grupo recorreu a 40.

Ao serem contornadas todas as medidas de segurança, a campanha avança para a fase seguinte, que envolve a instalação de ransomware nos sistemas comprometidos.

Ainda em outubro, a Microsoft revogou mais de 200 certificados de assinatura de código que estavam a ser usados pelo grupo Vanilla Tempest em ficheiros falsos de instalação do Microsoft Teams, que serviam para disseminar o ransomware RhysidaEmbora a Microsoft não tenha confirmado se os certificados em questão estavam relacionados com a campanha identificada pela Expel, Aaron Walton afirma que se trata da mesma operação. 

Assine a newsletter do TEK Notícias e receba todos os dias as principais notícias de tecnologia na sua caixa de correio.