Maio 27, 2025
Rico Olivetti Hackers, Tecnologia

Hackers estão ligando para o seu escritório: FBI alerta escritórios de advocacia sobre a campanha de phishing furtiva do Luna Moth

O Federal Bureau of Investigation (FBI) dos EUA alertou sobre ataques de engenharia social realizados por um criminoso extorsivo conhecido como Luna Moth, visando escritórios de advocacia nos últimos dois anos.

A campanha utiliza “chamadas de engenharia social com temas de tecnologia da informação (TI) e e-mails de phishing de retorno para obter acesso remoto a sistemas ou dispositivos e roubar dados confidenciais para extorquir as vítimas”, disse o FBI em um comunicado.

Sabe-se que o Luna Moth, também chamado de Chatty Spider, Silent Ransom Group (SRG), Storm-0252 e UNC3753, está ativo desde pelo menos 2022 , empregando principalmente uma tática chamada phishing de retorno de chamada ou entrega de ataque orientada por telefone (TOAD) para enganar usuários desavisados ​​e fazê-los ligar para números de telefone listados em e-mails de phishing aparentemente benignos relacionados a faturas e pagamentos de assinaturas.

Vale mencionar aqui que Luna Moth se refere à mesma equipe de hackers que anteriormente realizou campanhas do BazarCall (também conhecido como BazaCall) para implantar ransomware como o Conti . Os agentes da ameaça se consolidaram após o fechamento do grupo Conti.

Especificamente, os destinatários do e-mail são instruídos a ligar para um número de suporte ao cliente para cancelar sua assinatura premium em até 24 horas, evitando assim o pagamento. Durante a conversa telefônica, a vítima recebe um link por e-mail e é orientada a instalar um programa de acesso remoto, concedendo aos invasores acesso não autorizado aos seus sistemas.

De posse do acesso, os invasores extraem informações confidenciais e enviam uma nota de extorsão à vítima, exigindo pagamento para evitar que os dados roubados sejam publicados em um site vazado ou vendidos a outros criminosos cibernéticos.

O FBI disse que os agentes do Luna Moth mudaram suas táticas a partir de março de 2025, ligando para indivíduos de interesse e se passando por funcionários do departamento de TI da empresa.

“O SRG então direcionará o funcionário para uma sessão de acesso remoto, seja por e-mail ou navegando até uma página da web”, observou a agência. “Assim que o funcionário conceder acesso ao seu dispositivo, ele será informado de que o trabalho precisa ser feito durante a noite.”

Os cibercriminosos, após obterem acesso ao dispositivo da vítima, aumentam os privilégios e utilizam ferramentas legítimas como Rclone ou WinSCP para facilitar a exfiltração de dados.

O uso de ferramentas genuínas de gerenciamento de sistema ou acesso remoto, como Zoho Assist, Syncro, AnyDesk, Splashtop ou Atera para realizar os ataques significa que é improvável que eles sejam sinalizados por ferramentas de segurança instaladas nos sistemas.

“Se o dispositivo comprometido não tiver privilégios administrativos, o WinSCP portátil é usado para extrair os dados da vítima”, acrescentou o FBI. “Embora essa tática tenha sido observada apenas recentemente, ela tem se mostrado altamente eficaz e resultou em múltiplos comprometimentos.”

Os defensores são incentivados a ficarem atentos a conexões WinSCP ou Rclone feitas a endereços IP externos, e-mails ou mensagens de voz de um grupo não identificado alegando que dados foram roubados, e-mails sobre serviços de assinatura fornecendo um número de telefone e exigindo uma chamada para remover cobranças de renovação pendentes e chamadas telefônicas não solicitadas de indivíduos alegando trabalhar em seus departamentos de TI.

A divulgação ocorre após um relatório da EclecticIQ detalhando as campanhas de phishing de retorno de chamada de “alto ritmo” do Luna Moth, visando os setores jurídico e financeiro dos EUA usando o Reamaze Helpdesk e outros softwares de desktop remoto.

De acordo com a empresa holandesa de segurança cibernética, pelo menos 37 domínios foram registrados pelo agente de ameaças via GoDaddy em março, a maioria dos quais falsificava os portais de suporte e helpdesk de TI das organizações visadas.

“O Luna Moth está usando principalmente domínios com temas de helpdesk, geralmente começando com o nome da empresa visada, por exemplo, vorys-helpdesk[.]com”, afirmou a Silent Push em uma série de publicações no X. “Os agentes estão usando uma gama relativamente pequena de registradores. Os agentes parecem usar uma gama limitada de provedores de servidores de nomes, sendo domaincontrol[.]com o mais comum.”

Termos que ficar atentos para que isso não chegue até o Brasil!

Fonte: The Hacker News

CyberSecurity #Phishing #DireitoDigital #FBI #LunaMoth #SegurançaDaInformação