Ciberataques visam help desks de TI para violação inicial

13/05/2025 mindsecblog Notícias 0

Ciberataques visam help desks de TI para violação inicial.

De acordo com análises recentes de especialistas em segurança cibernética, os criminosos cibernéticos estão cada vez mais se passando por pessoal de suporte de TI e autoridades confiáveis ​​para manipular as vítimas e fazê-las conceder acesso a sistemas críticos.

Essa tática explora tendências humanas inerentes de se submeter a figuras de autoridade percebidas, permitindo que invasores contornem defesas técnicas aproveitando vulnerabilidades psicológicas.

A mudança ressalta a crescente sofisticação das campanhas de engenharia social , que agora combinam explorações técnicas com manipulação comportamental para comprometer organizações.

O viés de autoridade — a tendência de obedecer a instruções de indivíduos em posições de suposta especialização — tornou-se a base dos ataques cibernéticos modernos.

Os cibercriminosos se disfarçam de funcionários de suporte de TI, autoridades fiscais ou representantes bancários para convencer os alvos a instalar ferramentas de acesso remoto ou divulgar credenciais confidenciais.

O relatório Incident Response Quarterly Trends do Cisco Talos destaca um aumento nos grupos de ransomware que usam essa abordagem, contatando as vítimas disfarçados de profissionais de TI para “resolver problemas urgentes”.

Depois que as vítimas concedem acesso por meio de ferramentas como AnyDesk ou TeamViewer, os invasores estabelecem bases persistentes para exfiltração de dados, movimentação lateral ou implantação de ransomware.

Essa estratégia contorna os mecanismos tradicionais de detecção de malware ao confiar em softwares legítimos já confiáveis ​​pelas organizações.

Por exemplo, ferramentas de administração remota de uso duplo são onipresentes em ambientes corporativos, dificultando que as equipes de segurança diferenciem atividades maliciosas de operações de rotina.

Os invasores aumentam ainda mais a credibilidade falsificando números de telefone oficiais, domínios de e-mail ou identidades de funcionários — uma tendência que levou a um aumento de 37% nos incidentes de comprometimento de e-mail comercial (BEC) desde 2024.

Caça a ameaças na era LOLBin

A proliferação de Binários Vivendo da Terra (LOLBins) forçou os defensores a adotar metodologias avançadas de caça a ameaças.

Os invasores exploram cada vez mais ferramentas de sistema pré-instaladas, como PowerShell, WMI e PsExec, para executar cargas maliciosas , minimizando a dependência de malware personalizado facilmente detectável.

A estrutura do Talos IR enfatiza a detecção de anomalias, como a identificação de árvores de processos incomuns, conexões de rede inesperadas ou desvios do comportamento básico do usuário.

Uma tática eficaz envolve monitorar argumentos de linha de comando atípicos em executáveis ​​legítimos.

Por exemplo, uma campanha recente analisada pela Talos abusou do serviço Windows Management Instrumentation (WMI) para agendar tarefas que implantavam beacons Cobalt Strike.

Ao correlacionar dados de telemetria, como eventos de criação de processos e registros de rede, os caçadores de ameaças isolaram atividades maliciosas do WMI em meio às operações administrativas normais.

Da mesma forma, analisar modificações no registro para mecanismos de persistência (por exemplo, chaves de execução inesperadas) provou ser essencial para descobrir ameaças ocultas.

As organizações são aconselhadas a combinar regras de detecção automatizada com investigações manuais.

Por exemplo, picos repentinos no tráfego DNS de saída de servidores de desenvolvimento podem indicar tentativas de roubo de credenciais por meio de ferramentas como o Mimikatz.

Enquanto isso, a análise forense de memória continua sendo essencial para detectar malware sem arquivo que evita gravações em disco.

Expansão do cenário de ameaças

Incidentes recentes ilustram a escalabilidade dessas táticas. Em maio de 2025, Jason Miller, morador da Califórnia, declarou-se culpado de orquestrar uma campanha de malware que extraiu 1,1 TB de dados dos canais do Slack da Disney.

O ataque usou um gerador de arte de IA trojanizado para distribuir Trojans de Acesso Remoto (RATs), permitindo acesso não autorizado às comunicações internas.

A prisão de Miller ocorreu após uma investigação conjunta do FBI e da CISA que vinculou o malware a esquemas de fraude financeira direcionados a sistemas de pagamento corporativos.

Enquanto isso, o grupo de ransomware DragonForce assumiu a responsabilidade por ataques disruptivos aos varejistas britânicos Co-op, Harrods e Marks & Spencer.

O grupo explorou vulnerabilidades não corrigidas em sistemas de ponto de venda (PoS), criptografando bancos de dados de transações e exigindo US$ 8,7 milhões em Monero.

Ao mesmo tempo, a Dark Reading relatou um aumento de 52% em relação ao ano anterior em ataques direcionados a segredos expostos de desenvolvedores, como chaves de API e credenciais de nuvem .

Os invasores examinam repositórios públicos e ambientes DevOps mal configurados para coletar esses tokens, facilitando a movimentação lateral para redes de produção.

A telemetria do Talos também identificou quatro variantes de malware disseminadas:

  1. VID001.exe (detectado como Win.Worm.Bitmin): Um worm que se espalha por meio de anexos de phishing que explora vulnerabilidades do SMB para propagação.
  2. img001.exe : Um downloader que distribui mineradores de criptomoedas por meio de sites WordPress comprometidos.
  3. AAct.exe : Um falso ativador de software que implementa backdoors que exfiltram históricos e cookies do navegador.

Estratégias de mitigação para um campo de batalha em constante mudança

Para combater essas ameaças, as organizações devem priorizar a educação do usuário e a autenticação em várias camadas.

A Cisco Talos recomenda implementar protocolos de verificação rigorosos para solicitações de suporte de TI não solicitadas, como exigir confirmação secundária por meio de canais oficiais.

A segmentação de rede e a lista de permissões de aplicativos podem limitar o movimento lateral, enquanto o monitoramento contínuo do abuso de LOLBin é essencial.

À medida que os invasores refinam suas táticas, a comunidade de segurança cibernética deve se adaptar compartilhando informações e desenvolvendo modelos de análise comportamental.

A linha entre exploração técnica e manipulação psicológica continuará se confundindo, exigindo vigilância tanto em nível humano quanto em nível de máquina.

Fonte: GBHackers

 

Veja também:

About mindsecblog 3078 Articles
Blog patrocinado por MindSec Segurança e Tecnologia da Informação Ltda.
Website Facebook Twitter YouTube LinkedIn

Related Articles

Artigos

Guia para backup: como proteger seus dados contra ransomware

05/08/2021 mindsecblog Artigos, Notícias 5

Guia para backup: como proteger seus dados contra ransomware. Com o crescente aumento de ataques cibernéticos e profissionais atuando em home office, nunca foi tão importante ter uma boa solução e estratégia de backup. Os […]

Notícias

Campanhas de phishing exploram a morte da Rainha

16/09/2022 mindsecblog Notícias 1

Campanhas de phishing exploram a morte da Rainha. Atores de ameaças estão usando a morte da rainha Elizabeth II como isca para roubar as credenciais dos usuários da Microsoft, alertaram especialistas. Uma captura de tela postada […]

Artigos

Seguro cibernético na era da digitalização

15/01/2025 mindsecblog Artigos 0

Seguro cibernético na era da digitalização No cenário digital atual, onde a tecnologia permeia cada aspecto das nossas vidas pessoais e profissionais, a segurança cibernética se tornou um pilar essencial para a proteção de indivíduos […]

Be the first to comment

Deixe sua opinião!