Descoberta e escopo
Atividades de ameaças cibernéticas recentes têm revelado uma evolução significativa nas táticas de grupos criminosos, com destaque para a campanha liderada pelo grupo Velvet Tempest. Segundo relatórios de segurança, os atacantes estão utilizando a técnica ClickFix para implantar o malware DonutLoader e o backdoor CastleRAT, culminando em brechas que resultam em infecções pelo ransomware Termite.
A técnica ClickFix, que engana usuários para executar comandos maliciosos em terminais legítimos do Windows, continua sendo um vetor de entrada eficaz. A combinação com utilitários legítimos do sistema operacional permite que os atacantes operem com menor visibilidade, explorando a confiança que os administradores de TI depositam em ferramentas nativas.
Vetor e exploração
O fluxo de ataque descrito envolve a entrega inicial do DonutLoader, que atua como um carregador para baixar e executar o CastleRAT. Uma vez estabelecida a persistência, o grupo utiliza o acesso para implantar o ransomware Termite, visando a criptografia de dados e a extorsão financeira. A utilização de utilitários do Windows para a implantação de malware representa um desafio significativo para as equipes de segurança, que precisam monitorar não apenas assinaturas maliciosas, mas também o comportamento anômalo de ferramentas legítimas.
Impacto e alcance
Embora o escopo exato das vítimas não tenha sido detalhado publicamente, a natureza da campanha sugere um foco em organizações que não possuem controles robustos de monitoramento de comportamento de usuários e sistemas. A evolução do ClickFix para incluir a entrega de ransomware indica um aumento na severidade das operações, saindo de simples roubo de credenciais para ataques de negação de serviço e extorsão.
Recomendações para CISOs
As organizações devem revisar suas políticas de uso de terminais e garantir que a execução de comandos seja monitorada. A implementação de soluções de detecção de comportamento (EDR/XDR) é crucial para identificar atividades anômalas, mesmo quando originadas de ferramentas legítimas. Além disso, a conscientização dos usuários sobre técnicas de engenharia social, como o ClickFix, permanece como uma linha de defesa essencial.