sampanews.com
  • Cidades
  • Mundo
  • Política
  • Negócios
  • Esporte
  • Saúde
  • Cultura
  • Tecnologia
  • Auto

O que você está procurando?

Auto Cidades Cultura Economia Esporte Mundo Negócios

Recente

Suspeitos morrem após troca de tiros com guardas durante perseguição a caminhonete roubada
12 de julho de 2026
Pimbolas, Urban Strife e mais! Veja os lançamentos de games da semana
12 de julho de 2026
Casos de pneumonia crescem 44% e acendem alerta durante inverno; veja como se prevenir
12 de julho de 2026
Home office: 40 vagas para trabalho remoto internacional [12/07]
12 de julho de 2026
domingo, julho 12, 2026
Top Posts
Suspeitos morrem após troca de tiros com guardas...
Pimbolas, Urban Strife e mais! Veja os lançamentos...
Casos de pneumonia crescem 44% e acendem alerta...
Home office: 40 vagas para trabalho remoto internacional...
Siglas de carros eletrificados: entenda o que é...
12 dicas para jogar melhor Lego Batman: Legacy...
A Odisseia, Heartstopper e mais! Os lançamentos de...
Revalida 2026/1: divulgado resultado final da primeira etapa...
Motorista fica ferido após bater carro contra poste...
LETS PIU: jogo de celular transforma shoppings em...
sampanews.com
Banner
  • Cidades
  • Mundo
  • Política
  • Negócios
  • Esporte
  • Saúde
  • Cultura
  • Tecnologia
  • Auto

O que você está procurando?

Auto Cidades Cultura Economia Esporte Mundo Negócios

Recente

Suspeitos morrem após troca de tiros com guardas durante perseguição a caminhonete roubada
12 de julho de 2026
Pimbolas, Urban Strife e mais! Veja os lançamentos de games da semana
12 de julho de 2026
Casos de pneumonia crescem 44% e acendem alerta durante inverno; veja como se prevenir
12 de julho de 2026
Home office: 40 vagas para trabalho remoto internacional [12/07]
12 de julho de 2026
sampanews.com

O que você está procurando?

Auto Cidades Cultura Economia Esporte Mundo Negócios

Recente

Suspeitos morrem após troca de tiros com guardas durante perseguição a caminhonete roubada
12 de julho de 2026
Pimbolas, Urban Strife e mais! Veja os lançamentos de games da semana
12 de julho de 2026
Casos de pneumonia crescem 44% e acendem alerta durante inverno; veja como se prevenir
12 de julho de 2026
Home office: 40 vagas para trabalho remoto internacional [12/07]
12 de julho de 2026
sampanews.com
  • Cidades
  • Mundo
  • Política
  • Negócios
  • Esporte
  • Saúde
  • Cultura
  • Tecnologia
  • Auto
Copyright 2026 - Todos os Direitos Reservados

Cibercriminosos usam pop-up falso para invadir redes de empresas

por SampaNews 12 de abril de 2026
12 de abril de 2026
37

Um grupo de cibercriminosos rastreado como Velvet Tempest está usando anúncios maliciosos e uma falsa verificação de segurança para ganhar acesso a redes corporativas e implantar um conjunto sofisticado de malwares.

O alerta foi publicado no último mês de março pela empresa de cibersegurança MalBeacon, que observou as ações dos criminosos durante 12 dias em um ambiente monitorado. Ele simulava uma organização sem fins lucrativos americana com mais de 3.000 computadores.

smart_display

Nossos vídeos em destaque

Quem é o Velvet Tempest

O Velvet Tempest, também identificado como DEV-0504, é um grupo com pelo menos cinco anos de atividade no ecossistema criminoso de ransomware. Ransomware é um tipo de software malicioso que cifra os arquivos de uma organização, tornando-os completamente inacessíveis, e exige pagamento para devolver o acesso.

O grupo não cria o ransomware do zero. Ele atua como afiliado, um modelo em que os criminosos fazem acordo com os desenvolvedores do malware, usam a ferramenta e ficam com uma parte do resgate obtido.

Por esse caminho, o Velvet Tempest deixou rastros em algumas das campanhas de ransomware nos últimos anos, incluindo Ryuk, REvil, Conti, BlackCat/ALPHV, LockBit e RansomHub.

A porta de entrada

O ataque começa com malvertising, uma técnica de publicidade maliciosa, na qual os criminosos pagam por anúncios online que levam a vítima a uma página falsa. Não é preciso fazer nada fora do comum.

Essa página usa duas camadas de engano combinadas. A primeira é um falso CAPTCHA, aquele sistema de verificação que sites usam para confirmar se quem acessa é humano ou um robô automatizado.

A segunda é a técnica ClickFix, que instrui a vítima a abrir o Windows Run, a pequena janela de execução do sistema operacional acessada com Win+R, e colar um comando que já foi copiado automaticamente para a área de transferência do computador.

A página apresenta isso como uma etapa de verificação normal. A vítima cola o comando e, sem saber, executa código malicioso diretamente no próprio sistema.

Como o ataque avança sem ser detectado

O comando colado é ofuscado, ou seja, escrito de forma propositalmente ilegível para dificultar que ferramentas de segurança ou humanos entendam o que ele faz. A execução dispara uma série de processos encadeados usando ferramentas legítimas do próprio Windows.

Essa estratégia é chamada de Living off the Land, ou “viver da terra”. A lógica é usar ferramentas que o sistema operacional já considera confiáveis, os criminosos reduzem muito as chances de serem detectados por antivírus.

Uma das ferramentas abusadas é o finger.exe, um utilitário antigo do Windows criado originalmente para consultar informações sobre usuários em redes remotas.

Por ser raramente monitorado, ele foi usado para baixar os primeiros loaders, que são programas maliciosos cuja função é não causar dano direto, mas baixar e executar outros malwares mais complexos. Um dos primeiros arquivos baixados no computador da vítima era um arquivo comprimido disfarçado de PDF.

O que os criminosos fazem depois de entrar

Após o acesso inicial, operadores humanos assumem o controle direto. Esse tipo de atuação, chamado de hands-on keyboard no jargão da área, é especialmente perigoso porque um humano especializado consegue se adaptar a obstáculos e tomar decisões em tempo real, algo que scripts automatizados não conseguem.

Dentro da rede da vítima, o grupo realizou reconhecimento do Active Directory, que é o sistema da Microsoft responsável por gerenciar usuários, computadores e permissões em redes corporativas.

Quem mapeia o Active Directory de uma organização tem acesso ao “mapa de poder” da estrutura, conseguindo identificar quais contas têm mais privilégios e por onde é possível se mover pela rede.

Os criminosos também usaram um script em PowerShell, uma linguagem de automação nativa do Windows, para roubar senhas salvas no navegador Google Chrome.

Esse script estava hospedado em um endereço IP que pesquisadores associaram à infraestrutura do ransomware Termite, o mesmo grupo que já atacou a provedora de software Blue Yonder e a clínica de fertilização australiana Genea. Isso indica que diferentes grupos criminosos compartilham ferramentas e infraestrutura entre si.

Os dois malwares implantados

Nos estágios finais, o Velvet Tempest implantou dois programas maliciosos no ambiente da vítima. O primeiro é o DonutLoader, um loader sofisticado que injeta código diretamente na memória dos processos em execução, sem criar arquivos no disco. Essa técnica é chamada de execução fileless, ou “sem arquivo”.

Ferramentas de segurança tradicionais focam em analisar arquivos e, quando não há arquivo para analisar, a detecção se torna muito mais difícil.

O segundo é o CastleRAT, um RAT, sigla para Remote Access Trojan, que em português significa trojan de acesso remoto. Um RAT permite que o atacante controle o computador da vítima à distância, visualizando a tela, executando comandos, transferindo arquivos e capturando tudo que é digitado.

O CastleRAT está associado ao CastleLoader, um loader conhecido por distribuir múltiplas famílias de malware, incluindo o LummaStealer, um programa especializado em roubar credenciais, cookies de sessão e carteiras de criptomoeda.

Para garantir que os malwares continuassem ativos mesmo após reinicializações, componentes baseados em Python foram instalados na pasta C:\ProgramData, um diretório que o Windows reserva para aplicativos legítimos, o que ajuda a camuflar a presença maliciosa.

O golpe que não veio

O modelo de ataque habitual do Velvet Tempest é de dupla extorsão. Os criminosos primeiro roubam os dados da organização e depois cifram tudo. Assim, mesmo que a vítima tenha backup, o grupo ainda ameaça publicar o que foi roubado. Duas alavancas de pressão ao mesmo tempo.

Nessa intrusão específica, porém, o ransomware Termite não chegou a ser implantado. Os pesquisadores da MalBeacon não concluíram se isso se deve ao fato de o ataque ter sido interrompido pela detecção ou se o grupo ainda estava em fase de reconhecimento antes do golpe final.

Acompanhe o TecMundo nas redes sociais. Para mais notícias de segurança e tecnologia, inscreva-se em nossa newsletter e canal do YouTube.

autor de origem

Compartilhar 0 FacebookTwitterLinkedinWhatsapp
postagem anterior
Ataque contra a Guarda Costeira do Paquistão no Mar da Arábia deixa três mortos
próxima postagem
Guerra contra o Irã custou a Israel US$11,5 bilhões, diz ministério

Você também pode gostar

Pimbolas, Urban Strife e mais! Veja os lançamentos...

12 de julho de 2026

Home office: 40 vagas para trabalho remoto internacional...

12 de julho de 2026

12 dicas para jogar melhor Lego Batman: Legacy...

12 de julho de 2026

A Odisseia, Heartstopper e mais! Os lançamentos de...

12 de julho de 2026

POSTS MAIS RECENTES

  • Suspeitos morrem após troca de tiros com guardas durante perseguição a caminhonete roubada
  • Pimbolas, Urban Strife e mais! Veja os lançamentos de games da semana
  • Casos de pneumonia crescem 44% e acendem alerta durante inverno; veja como se prevenir
  • Home office: 40 vagas para trabalho remoto internacional [12/07]
  • Siglas de carros eletrificados: entenda o que é HEV, PHEV, BEV e MHEV

Siga-nos

  • Recente
  • Popular
  • Suspeitos morrem após troca de tiros com guardas durante perseguição a caminhonete roubada

    12 de julho de 2026
  • Pimbolas, Urban Strife e mais! Veja os lançamentos de games da semana

    12 de julho de 2026
  • Casos de pneumonia crescem 44% e acendem alerta durante inverno; veja como se prevenir

    12 de julho de 2026
  • Home office: 40 vagas para trabalho remoto internacional [12/07]

    12 de julho de 2026
  • 1

    Assessor ⁠da Casa Branca diz que novo chair do Fed deve ser “uma pessoa independente”

    22 de janeiro de 2026
  • 2

    IPVA mais caro do Brasil custa R$ 1 milhão; veja o carro mais caro de cada estado

    20 de janeiro de 2026
  • 3

    ⁠Infantino tem razão? Será que o futebol não existiria em ‘150 países’ sem a FIFA?

    5 de abril de 2026
  • 4

    ⁠Infantino tem razão? Será que o futebol não existiria em ‘150 países’ sem a FIFA?

    5 de abril de 2026

Postagens em destaque

12 dicas para jogar melhor Lego Batman: Legacy...

12 de julho de 2026

A Odisseia, Heartstopper e mais! Os lançamentos de...

12 de julho de 2026

Revalida 2026/1: divulgado resultado final da primeira etapa...

12 de julho de 2026

Motorista fica ferido após bater carro contra poste...

12 de julho de 2026

LETS PIU: jogo de celular transforma shoppings em...

12 de julho de 2026

Leitura obrigatória

  • Suspeitos morrem após troca de tiros com guardas durante perseguição a caminhonete roubada

    12 de julho de 2026
  • Pimbolas, Urban Strife e mais! Veja os lançamentos de games da semana

    12 de julho de 2026
  • Casos de pneumonia crescem 44% e acendem alerta durante inverno; veja como se prevenir

    12 de julho de 2026
  • Home office: 40 vagas para trabalho remoto internacional [12/07]

    12 de julho de 2026
  • Siglas de carros eletrificados: entenda o que é HEV, PHEV, BEV e MHEV

    12 de julho de 2026

Newsletter

Posts relacionados

  • Pimbolas, Urban Strife e mais! Veja os lançamentos de games da semana

    12 de julho de 2026
  • Home office: 40 vagas para trabalho remoto internacional [12/07]

    12 de julho de 2026
  • 12 dicas para jogar melhor Lego Batman: Legacy of the Dark Knight

    12 de julho de 2026
  • A Odisseia, Heartstopper e mais! Os lançamentos de filmes e séries da semana (12/07)

    12 de julho de 2026
  • LETS PIU: jogo de celular transforma shoppings em Battle Royale da vida real

    12 de julho de 2026

Mais vistas da semana

⁠Infantino tem razão? Será que o futebol não existiria em ‘150 países’ sem a FIFA?
5 de abril de 2026
⁠Infantino tem razão? Será que o futebol não existiria em ‘150 países’ sem a FIFA?
5 de abril de 2026
Tudo sobre Witch Hat Atelier, anime de fantasia que conquistou muitos fãs
5 de julho de 2026

Postagens Aleatórias

Acidente entre carro e moto é registrado no bairro Atibaianos
1 de março de 2026
Chery terá fábrica na Argentina para montar carros da Omoda e Jaecoo
27 de maio de 2026
Viracopos opera normalmente nesta sexta após pane geral no tráfego aéreo de SP
10 de abril de 2026

Categorias Populares

  • Tecnologia (6.115)
  • Política (3.650)
  • Mundo (3.258)
  • Campinas (2.129)
  • Negócios (1.271)
  • Economia (1.255)
  • Auto (1.145)
  • Bragança Paulista (1.123)
  • Esporte (818)
  • Saúde (504)

Notícias de São Paulo e do mundo, em tempo real. Cobertura completa de política, economia, mercado, cidades e assuntos que importam — com contexto e credibilidade.

Facebook Twitter Instagram Linkedin Youtube

Copyright © 2026 SampaNews. Todos os Direitos Reservados.

  • Anuncie
  • Contato
  • Política de Privacidade
sampanews.com
  • Home