Os investigadores da Expel têm vindo a acompanhar as atividades do grupo Rhysida e detalham que a campanha está ativa desde junho deste ano, após uma primeira versão que decorreu entre maio e setembro de 2024.
Não perca nenhuma notícia importante da atualidade de tecnologia e acompanhe tudo em tek.sapo.pt
De acordo com os especialistas, a primeira fase da campanha tem como objetivo infetar os equipamentos das vítimas com um malware chamado OysterLoader, também conhecido como Broomstick ou CleanUpLoader.
No entanto, este não é o único software malicioso usado pelo grupo. Além do OysterLoader, que abre a “porta” aos atacantes, os investigadores verificaram que a campanha também usa o malware Latrodectus, que funciona de modo semelhante.
A campanha baseia-se num modelo de malvertising, com os cibercriminosos a comprarem anúncios no motor de pesquisa Bing para levar as vítimas para páginas falsas que “escondem” conteúdo malicioso.
Ao acederem a estas páginas e ao clicarem nos links para fazer o que pensam ser o download do Teams, as vítimas acabam por instalar malware nos seus computadores.
Em declarações ao website The Register, Aaron Walton, analista da Expel, explica que, para evitar possíveis deteções, o grupo usa uma ferramenta que permite esconder o verdadeiro código do malware.
Além disso, os cibercriminosos também recorrem a certificados de assinatura de código para enganar o Windows e fazer com que os ficheiros maliciosos pareçam de confiança. No ano passado, a primeira versão da campanha já tinha usado sete certificados. Na mais recente versão, o grupo recorreu a 40.
Ao serem contornadas todas as medidas de segurança, a campanha avança para a fase seguinte, que envolve a instalação de ransomware nos sistemas comprometidos.
Ainda em outubro, a Microsoft revogou mais de 200 certificados de assinatura de código que estavam a ser usados pelo grupo Vanilla Tempest em ficheiros falsos de instalação do Microsoft Teams, que serviam para disseminar o ransomware Rhysida. Embora a Microsoft não tenha confirmado se os certificados em questão estavam relacionados com a campanha identificada pela Expel, Aaron Walton afirma que se trata da mesma operação.
Assine a newsletter do TEK Notícias e receba todos os dias as principais notícias de tecnologia na sua caixa de correio.
Veja também
Em destaque
-
Multimédia
Windows: Da “janela” para o computador ao “ecrã para a IA” em quatro décadas de transformação -
App do dia
Com o Lego Builder, as instruções em papel transformam-se numa experiência 3D e colaborativa -
Site do dia
"Negócios, negócios, burlas à parte" reforça literacia financeira nas redes sociais -
How to TEK
Os vídeos automáticos são irritantes? Saiba como desligar o player nos browsers
Comentários