{"id":17554,"date":"2026-04-15T13:36:41","date_gmt":"2026-04-15T16:36:41","guid":{"rendered":"https:\/\/fenati.org.br\/?p=17554"},"modified":"2026-04-15T16:20:25","modified_gmt":"2026-04-15T19:20:25","slug":"anuncios-maliciosos-impulsionam-invasoes-redes","status":"publish","type":"post","link":"https:\/\/fenati.org.br\/en\/anuncios-maliciosos-impulsionam-invasoes-redes\/","title":{"rendered":"An\u00fancios maliciosos impulsionam onda de invas\u00f5es a redes corporativas"},"content":{"rendered":"<p><strong>An\u00fancios maliciosos &#8211;<\/strong> Um grupo de cibercriminosos conhecido como Velvet Tempest tem utilizado an\u00fancios maliciosos e falsos sistemas de verifica\u00e7\u00e3o para invadir redes empresariais e instalar uma cadeia sofisticada de <a href=\"https:\/\/pt.wikipedia.org\/wiki\/Malware\" target=\"_blank\" rel=\"noopener nofollow\">malwares<\/a>. O alerta foi divulgado em mar\u00e7o pela empresa de ciberseguran\u00e7a MalBeacon, que monitorou a atua\u00e7\u00e3o dos invasores durante 12 dias em um ambiente com mais de 3 mil computadores.<\/p>\n<p>Identificado tamb\u00e9m como DEV-0504, o Velvet Tempest atua h\u00e1 pelo menos cinco anos no ecossistema de ransomware, modelo de ataque em que dados s\u00e3o bloqueados e s\u00f3 liberados com pagamento. O grupo opera como afiliado, utilizando ferramentas desenvolvidas por terceiros e participando dos lucros obtidos com os resgates. Ao longo do tempo, deixou ind\u00edcios de participa\u00e7\u00e3o em campanhas envolvendo ransomwares j\u00e1 conhecidos.<\/p>\n<p><a href=\"https:\/\/fenati.org.br\/en\/ia-amplia-producao-cultural-fragiliza-criadores\/\" target=\"_blank\" rel=\"noopener\"><strong>LEIA: IA amplia produ\u00e7\u00e3o cultural enquanto fragiliza criadores<\/strong><\/a><\/p>\n<p>A estrat\u00e9gia de invas\u00e3o come\u00e7a com o chamado malvertising, em que an\u00fancios online direcionam a v\u00edtima para p\u00e1ginas fraudulentas. Nessas p\u00e1ginas, os criminosos combinam duas t\u00e9cnicas: um CAPTCHA falso e instru\u00e7\u00f5es para que o usu\u00e1rio execute um comando no sistema operacional, acreditando se tratar de uma verifica\u00e7\u00e3o leg\u00edtima. Ao seguir o procedimento, a pr\u00f3pria v\u00edtima ativa o c\u00f3digo malicioso sem perceber.<\/p>\n<p>Esse c\u00f3digo \u00e9 propositalmente ofuscado e aciona uma sequ\u00eancia de processos que utilizam ferramentas leg\u00edtimas do Windows, pr\u00e1tica conhecida como \u201cliving off the land\u201d. Ao recorrer a recursos j\u00e1 confi\u00e1veis do sistema, os invasores reduzem as chances de detec\u00e7\u00e3o pela seguran\u00e7a. Entre os utilit\u00e1rios explorados est\u00e1 o finger.exe, usado para baixar arquivos iniciais disfar\u00e7ados.<\/p>\n<p>Ap\u00f3s a invas\u00e3o, operadores humanos passam a atuar diretamente na rede comprometida, o que amplia o risco por permitir decis\u00f5es em tempo real. Os criminosos realizam reconhecimento da estrutura interna da organiza\u00e7\u00e3o, incluindo o mapeamento do Active Directory, sistema que gerencia usu\u00e1rios e permiss\u00f5es. Esse acesso permite identificar contas privilegiadas e expandir a movimenta\u00e7\u00e3o dentro da rede.<\/p>\n<p>Tamb\u00e9m foi identificado o uso de scripts em PowerShell para coletar senhas armazenadas no navegador Google Chrome. Parte dessa infraestrutura foi associada ao ransomware Termite, indicando poss\u00edvel compartilhamento de ferramentas entre diferentes grupos criminosos.<\/p>\n<p>Nos est\u00e1gios finais, dois tipos de malware foram implantados: um loader que executa c\u00f3digo diretamente na mem\u00f3ria, dificultando a detec\u00e7\u00e3o, e um trojan de acesso remoto, capaz de controlar o computador da v\u00edtima \u00e0 dist\u00e2ncia. Para garantir persist\u00eancia, componentes foram instalados em diret\u00f3rios comuns do sistema, camuflando a atividade maliciosa.<\/p>\n<p>Apesar da complexidade do ataque, o ransomware n\u00e3o chegou a ser ativado neste caso espec\u00edfico. Segundo os pesquisadores, n\u00e3o est\u00e1 claro se a a\u00e7\u00e3o foi interrompida a tempo ou se o grupo ainda estava em fase preparat\u00f3ria antes de executar a extors\u00e3o.<\/p>\n<p><em><strong>(Com informa\u00e7\u00f5es de Tecmundo)<\/strong><\/em><br \/>\n<em><strong>(Foto: Reprodu\u00e7\u00e3o\/Freepik\/Muhammad.abdullah)<\/strong><\/em><\/p>","protected":false},"excerpt":{"rendered":"<p>Grupo Velvet Tempest combina engenharia social e t\u00e9cnicas avan\u00e7adas para escapar de antiv\u00edrus<\/p>","protected":false},"author":6,"featured_media":17555,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[35],"tags":[13],"class_list":["post-17554","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-ti","tag-sindical"],"_links":{"self":[{"href":"https:\/\/fenati.org.br\/en\/wp-json\/wp\/v2\/posts\/17554","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/fenati.org.br\/en\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/fenati.org.br\/en\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/fenati.org.br\/en\/wp-json\/wp\/v2\/users\/6"}],"replies":[{"embeddable":true,"href":"https:\/\/fenati.org.br\/en\/wp-json\/wp\/v2\/comments?post=17554"}],"version-history":[{"count":1,"href":"https:\/\/fenati.org.br\/en\/wp-json\/wp\/v2\/posts\/17554\/revisions"}],"predecessor-version":[{"id":17556,"href":"https:\/\/fenati.org.br\/en\/wp-json\/wp\/v2\/posts\/17554\/revisions\/17556"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/fenati.org.br\/en\/wp-json\/wp\/v2\/media\/17555"}],"wp:attachment":[{"href":"https:\/\/fenati.org.br\/en\/wp-json\/wp\/v2\/media?parent=17554"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/fenati.org.br\/en\/wp-json\/wp\/v2\/categories?post=17554"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/fenati.org.br\/en\/wp-json\/wp\/v2\/tags?post=17554"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}