Pesquisadores da Equipe Global de Pesquisa e Análise (GReAT) da Kaspersky identificaram recentemente duas campanhas que confirmam a evolução do crime cibernético globalmente: uma operação de espionagem ligada ao antigo grupo Hacking Team, agora conhecido como Memento Labs, e uma série de ataques financeiros baseados em inteligência artificial (IA) executada pelo grupo BlueNoroff, uma subdivisão do Grupo Lázaro. Ambos os casos refletem como os agentes de ameaças mais sofisticados combinam engenharia social, automação e novas tecnologias para atingir seus objetivos, seja espionagem política ou roubo de informações financeiras.
Leia também
Cibercrime aposta pesado em infostealers
IA e promoção impulsionam o cibercrime direcionado
Após vários anos de silêncio, os especialistas da Kaspersky descobriram uma nova campanha ativa de ciberespionagem chamada Operação ForumTroll, ligada ao Memento Labs. Os cibercriminosos obtiveram phishing personalizado – simulando convites para um fórum acadêmico russo – para se infiltrarem em meios de comunicação, instituições financeiras e agências governamentais.
Durante a investigação, os especialistas identificaram um spyware altamente sofisticado chamado LeetAgent, que usava uma linguagem de comando rara e estava relacionado a outro programa ainda mais avançado: o Dante, desenvolvido comercialmente pela Memento Labs.
“Esta operação está ativa desde pelo menos 2022 e visa principalmente organizações na Rússia e na Bielorrússia, com reivindicações de que os cibercriminosos não são falantes nativos de russo. Revelar a origem do Dante foi um desafio que envolve desvendar camadas de código oculto e acompanhar sua evolução ao longo dos anos, mas o ataque foi detectado graças ao Kaspersky Next XDR Expert, uma das soluções de detecção e resposta da Kaspersky”, disse Leandro Cuozzo, ainda de segurança para a América Latina da Kaspersky.
Paralelamente, a Kaspersky detectou novas campanhas do grupo BlueNoroff, que usa ferramentas baseadas em IA para criar ataques direcionados a executivos, investidores e desenvolvedores no setor de criptomoedas e Web3. As operações apelidadas de GhostCall e GhostHire são distribuídas, respectivamente, por meio de chamadas de vídeos falsos e anúncios de empregos simulados.
No GhostCall, que se concentra principalmente em dispositivos macOS, as vítimas recebem convites para reuniões de investimento e, durante a sessão, são solicitadas a “atualizar” o Zoom ou o Teams e instalar malware inadvertidamente em seu computador. Na GhostHire, o alvo são desenvolvedores e profissionais de blockchain. Os cibercriminosos passam por recrutadores que enviam testes técnicos infectados usando o GitHub e, uma vez que o candidato baixa e executa o arquivo, o malware é instalado no computador e se adapta automaticamente ao sistema operacional, Windows ou macOS.
Especialistas alertam que a IA se tornou uma aliada do crime cibernético, pois permite que os cibercriminosos desenvolvam malware mais rapidamente, criem sites falsos mais realistas e, portanto, tenham mais facilidade para roubar credenciais, informações financeiras e acesso corporativo com precisão cirúrgica.
Para ajudar empresas e organizações a evitar vítimas de operações como GhostCall e GhostHire, os especialistas da Kaspersky recomendam:
- Verifique a identidade de qualquer contato antes de abrir arquivos ou links recebidos por e-mail ou redes sociais.
- Não execute comandos ou downloads não selecionados durante as videochamadas.
- Implemente políticas de autenticação e criptografia multifator.
- Use soluções como o Kaspersky Next, que fornecem visibilidade, detecção e resposta a ameaças
- Complementarmente com serviços gerenciados, como Detecção e Resposta Gerenciada e Resposta a Incidentes, que cobrem todo o ciclo de detecção, análise e resposta a incidentes.
