Operação The Quarry e Phishing-as-a-Service
Uma onda de campanhas de phishing direcionadas a contribuintes americanos foi rastreada até uma única operação de cibercrime altamente organizada conhecida como The Quarry. O que parecia ser dezenas de incidentes não relacionados, impersonando o IRS, a Administração da Segurança Social (SSA) e plataformas como DocuSign, revelou-se o trabalho de um único desenvolvedor vendendo um kit de Phishing-as-a-Service (PhaaS) para quase 200 operadores pagantes.
A operação está ativa desde pelo menos abril de 2025 e continua em execução no momento do relatório. O kit dá aos compradores tudo o que precisam para lançar uma campanha completa sem construir uma única ferramenta. Os operadores recebem páginas de phishing, infraestrutura de cloaking, painéis de acesso remoto, ferramentas de e-mail em massa e scripts de pós-exploração.
Abuso de ferramentas legítimas de gerenciamento remoto
O que torna o The Quarry especialmente perigoso é o uso de software legítimo de monitoramento e gerenciamento remoto (RMM) como payload final. Em vez de implantar malware reconhecível, os operadores entregam uma instalação silenciosa do ConnectWise ScreenConnect, uma ferramenta de acesso remoto amplamente confiável. Isso permite que os atacantes obtenham controle total sobre o dispositivo da vítima enquanto contornam ferramentas de detecção que normalmente sinalizariam malware tradicional.
A operação já mostra sinais de risco descendente crescente, com credenciais roubadas potencialmente sendo vendidas para grupos de ransomware através de atividade de Corretor de Acesso Inicial (Initial Access Broker). Mais de 500 endereços IP de vítimas distintos foram identificados em 14 países, com mais de 90% das vítimas localizadas nos Estados Unidos.
Técnicas de ataque e engenharia social
O ataque começa com um e-mail em massa projetado para parecer um aviso de reembolso do IRS, uma confirmação de declaração de impostos da SSA ou um documento compartilhado através de uma plataforma confiável. Quando uma vítima clica no link, o site filtra silenciosamente visitantes não-Windows e scanners de segurança automatizados. Uma segunda camada usa o Adspect, um serviço de cloaking de tráfego, para bloquear pesquisadores antes que a página falsa carregue.
A página de phishing replica o portal da Administração da Segurança Social com detalhes convincentes, incluindo o selo da SSA e seções de layout familiares. As vítimas são instruídas a baixar um "Security Connector" para acessar sua declaração, enquanto o payload real, um instalador MSI do ScreenConnect, baixa silenciosamente através de um quadro de página oculto.
Pós-exploração e impacto nas vítimas
Uma vez instalado o ScreenConnect, os operadores podem implantar scripts PowerShell para extrair dados valiosos. Um script puxa seis meses de histórico do navegador após fechar forçadamente o navegador para desbloquear seu banco de dados, enviando os dados ao operador através do Telegram. Um segundo script varre os arquivos da vítima em busca de documentos fiscais W-2, visando números de segurança social, registros de empregadores e informações salariais.
O canal do Telegram do desenvolvedor também promove o VioletRAT, uma ferramenta com capacidades de credential dumping e roubo de cookies. Chaves de acesso AWS foram encontradas nos logs da campanha, colhidas de arquivos JavaScript de frente pública pertencentes a organizações visadas. Essas capacidades confirmam que a operação persegue ativamente dados financeiros e corporativos de alto valor além do simples roubo de credenciais.
Medidas de mitigação e defesa
As organizações podem se defender contra o The Quarry mantendo uma lista aprovada de ferramentas de acesso remoto e sinalizando qualquer instalação inesperada do ScreenConnect imediatamente. O tráfego da API do Telegram de endpoints que normalmente não usam a plataforma deve ser investigado, pois pode sinalizar exfiltração ativa.
Como a impersonação governamental é central nesta campanha, os funcionários devem saber que o IRS e a SSA nunca enviam downloads executáveis por e-mail. Restringir a execução de VBScript de diretórios graváveis pelo usuário interromperia ainda mais a cadeia de entrega do VBS antes que ela possa ser concluída.
Indicadores de Comprometimento (IoCs)
Organizações devem verificar os seguintes indicadores para identificar atividades relacionadas a esta campanha:
- Domínios de Phishing: estatetaxarchives.com, hub.ssa-guidance.com, inherittaxpapers.site, verify.federal-docviewer.com, portal.federalverify-ssaclientportal.com, trusttaxportal.com, estatetaxrecords.com, tax-filecenter-irs.matthewtarwater.com, apps.docu-sign.net, secure.login-socialsecurity.com, hub.ssa-userstatus.com, secure.ssa-documentsync.com.
- Hashes MD5: 8974830446d35e234881696092aded87, ef970697c5094c443f0456774cfee9bc, 935413b08ef60cd819b2e1b573fc9050, 2163afa183cdfa525b767e0e1baaba1, 1827aa636cd86d1a4064e112aa197303, 00b69eb7f44b5987f68667343aaafb6a, 01ab231bcd9533f90e99651521b6e1bb.
Nota: Endereços IP e domínios são intencionalmente defanged (ex: [.]) para evitar resolução acidental ou hiperlinking. Re-fang apenas dentro de plataformas de inteligência de ameaças controladas como MISP, VirusTotal ou seu SIEM.
O que os CISOs devem fazer imediatamente
Os CISOs devem revisar as políticas de aprovação de software, especialmente para ferramentas de acesso remoto. Monitoramento de tráfego de saída para serviços de mensagens instantâneas não autorizados e análise de logs de execução de scripts devem ser reforçados. A conscientização de segurança deve enfatizar que agências governamentais não solicitam downloads de arquivos executáveis via e-mail.