O Federal Bureau of Investigation (FBI) dos EUA alertou sobre ataques de engenharia social realizados por um criminoso extorsivo conhecido como Luna Moth, visando escrit\u00f3rios de advocacia nos \u00faltimos dois anos.<\/p>\n\n\n\n
A campanha utiliza “chamadas de engenharia social com temas de tecnologia da informa\u00e7\u00e3o (TI) e e-mails de phishing de retorno para obter acesso remoto a sistemas ou dispositivos e roubar dados confidenciais para extorquir as v\u00edtimas”, disse<\/a> o FBI em um comunicado.<\/p>\n\n\n\n Sabe-se que o Luna Moth, tamb\u00e9m chamado de Chatty Spider, Silent Ransom Group (SRG), Storm-0252 e UNC3753, est\u00e1 ativo desde pelo menos 2022<\/a> , empregando principalmente uma t\u00e1tica chamada phishing de retorno de chamada ou entrega de ataque orientada por telefone (TOAD) para enganar usu\u00e1rios desavisados \u200b\u200be faz\u00ea-los ligar para n\u00fameros de telefone listados em e-mails de phishing aparentemente benignos relacionados a faturas e pagamentos de assinaturas.<\/p>\n\n\n\n Vale mencionar aqui que Luna Moth se refere \u00e0 mesma equipe de hackers que anteriormente realizou campanhas do BazarCall<\/a> (tamb\u00e9m conhecido como BazaCall) para implantar ransomware como o Conti<\/a> . Os agentes da amea\u00e7a se consolidaram<\/a> ap\u00f3s o fechamento do grupo Conti.<\/p>\n\n\n\n Especificamente, os destinat\u00e1rios do e-mail s\u00e3o instru\u00eddos a ligar para um n\u00famero de suporte ao cliente para cancelar sua assinatura premium em at\u00e9 24 horas, evitando assim o pagamento. Durante a conversa telef\u00f4nica, a v\u00edtima recebe um link por e-mail e \u00e9 orientada a instalar um programa de acesso remoto, concedendo aos invasores acesso n\u00e3o autorizado aos seus sistemas.<\/p>\n\n\n\n De posse do acesso, os invasores extraem informa\u00e7\u00f5es confidenciais e enviam uma nota de extors\u00e3o \u00e0 v\u00edtima, exigindo pagamento para evitar que os dados roubados sejam publicados em um site vazado ou vendidos a outros criminosos cibern\u00e9ticos.<\/p>\n\n\n\n O FBI disse que os agentes do Luna Moth mudaram suas t\u00e1ticas a partir de mar\u00e7o de 2025, ligando para indiv\u00edduos de interesse e se passando por funcion\u00e1rios do departamento de TI da empresa.<\/p>\n\n\n\n “O SRG ent\u00e3o direcionar\u00e1 o funcion\u00e1rio para uma sess\u00e3o de acesso remoto, seja por e-mail ou navegando at\u00e9 uma p\u00e1gina da web”, observou a ag\u00eancia. “Assim que o funcion\u00e1rio conceder acesso ao seu dispositivo, ele ser\u00e1 informado de que o trabalho precisa ser feito durante a noite.”<\/p>\n\n\n\n Os cibercriminosos, ap\u00f3s obterem acesso ao dispositivo da v\u00edtima, aumentam os privil\u00e9gios e utilizam ferramentas leg\u00edtimas como Rclone ou WinSCP para facilitar a exfiltra\u00e7\u00e3o de dados.<\/p>\n\n\n\n O uso de ferramentas genu\u00ednas de gerenciamento de sistema ou acesso remoto, como Zoho Assist, Syncro, AnyDesk, Splashtop ou Atera para realizar os ataques significa que \u00e9 improv\u00e1vel que eles sejam sinalizados por ferramentas de seguran\u00e7a instaladas nos sistemas.<\/p>\n\n\n\n “Se o dispositivo comprometido n\u00e3o tiver privil\u00e9gios administrativos, o WinSCP port\u00e1til \u00e9 usado para extrair os dados da v\u00edtima”, acrescentou o FBI. “Embora essa t\u00e1tica tenha sido observada apenas recentemente, ela tem se mostrado altamente eficaz e resultou em m\u00faltiplos comprometimentos.”<\/p>\n\n\n\n Os defensores s\u00e3o incentivados a ficarem atentos a conex\u00f5es WinSCP ou Rclone feitas a endere\u00e7os IP externos, e-mails ou mensagens de voz de um grupo n\u00e3o identificado alegando que dados foram roubados, e-mails sobre servi\u00e7os de assinatura fornecendo um n\u00famero de telefone e exigindo uma chamada para remover cobran\u00e7as de renova\u00e7\u00e3o pendentes e chamadas telef\u00f4nicas n\u00e3o solicitadas de indiv\u00edduos alegando trabalhar em seus departamentos de TI.<\/p>\n\n\n\n A divulga\u00e7\u00e3o ocorre ap\u00f3s um relat\u00f3rio da EclecticIQ detalhando as campanhas de phishing de retorno de chamada de “alto ritmo” do Luna Moth, visando os setores jur\u00eddico e financeiro dos EUA usando o Reamaze Helpdesk e outros softwares de desktop remoto.<\/p>\n\n\n\n De acordo com a empresa holandesa de seguran\u00e7a cibern\u00e9tica, pelo menos 37 dom\u00ednios foram registrados pelo agente de amea\u00e7as via GoDaddy em mar\u00e7o, a maioria dos quais falsificava os portais de suporte e helpdesk de TI das organiza\u00e7\u00f5es visadas.<\/p>\n\n\n\n