sampanews.com
  • Cidades
  • Mundo
  • Política
  • Negócios
  • Esporte
  • Saúde
  • Cultura
  • Tecnologia
  • Auto

O que você está procurando?

Auto Cidades Cultura Economia Esporte Mundo Negócios

Recente

A Odisseia, Heartstopper e mais! Os lançamentos de filmes e séries da semana (12/07)
12 de julho de 2026
Revalida 2026/1: divulgado resultado final da primeira etapa do exame
12 de julho de 2026
Motorista fica ferido após bater carro contra poste e árvore em Sousas; veja vídeo
12 de julho de 2026
LETS PIU: jogo de celular transforma shoppings em Battle Royale da vida real
12 de julho de 2026
domingo, julho 12, 2026
Top Posts
A Odisseia, Heartstopper e mais! Os lançamentos de...
Revalida 2026/1: divulgado resultado final da primeira etapa...
Motorista fica ferido após bater carro contra poste...
LETS PIU: jogo de celular transforma shoppings em...
Luisa Stefani e Gabriela Dabrowski são vice-campeãs em...
14 animes de romance Tsundere para maratonar
Vivências de brasileiros na pandemia são tema de mostra...
Fiat Uno Mille: a história e os primeiros...
IBGE inicia coleta da Pesquisa Nacional de Saúde...
Rancho Dutton: 6 das maiores perguntas sem resposta...
sampanews.com
Banner
  • Cidades
  • Mundo
  • Política
  • Negócios
  • Esporte
  • Saúde
  • Cultura
  • Tecnologia
  • Auto

O que você está procurando?

Auto Cidades Cultura Economia Esporte Mundo Negócios

Recente

A Odisseia, Heartstopper e mais! Os lançamentos de filmes e séries da semana (12/07)
12 de julho de 2026
Revalida 2026/1: divulgado resultado final da primeira etapa do exame
12 de julho de 2026
Motorista fica ferido após bater carro contra poste e árvore em Sousas; veja vídeo
12 de julho de 2026
LETS PIU: jogo de celular transforma shoppings em Battle Royale da vida real
12 de julho de 2026
sampanews.com

O que você está procurando?

Auto Cidades Cultura Economia Esporte Mundo Negócios

Recente

A Odisseia, Heartstopper e mais! Os lançamentos de filmes e séries da semana (12/07)
12 de julho de 2026
Revalida 2026/1: divulgado resultado final da primeira etapa do exame
12 de julho de 2026
Motorista fica ferido após bater carro contra poste e árvore em Sousas; veja vídeo
12 de julho de 2026
LETS PIU: jogo de celular transforma shoppings em Battle Royale da vida real
12 de julho de 2026
sampanews.com
  • Cidades
  • Mundo
  • Política
  • Negócios
  • Esporte
  • Saúde
  • Cultura
  • Tecnologia
  • Auto
Copyright 2026 - Todos os Direitos Reservados

Cibercriminosos usam pop-up falso para invadir redes de empresas

por SampaNews 12 de abril de 2026
12 de abril de 2026
36

Um grupo de cibercriminosos rastreado como Velvet Tempest está usando anúncios maliciosos e uma falsa verificação de segurança para ganhar acesso a redes corporativas e implantar um conjunto sofisticado de malwares.

O alerta foi publicado no último mês de março pela empresa de cibersegurança MalBeacon, que observou as ações dos criminosos durante 12 dias em um ambiente monitorado. Ele simulava uma organização sem fins lucrativos americana com mais de 3.000 computadores.

smart_display

Nossos vídeos em destaque

Quem é o Velvet Tempest

O Velvet Tempest, também identificado como DEV-0504, é um grupo com pelo menos cinco anos de atividade no ecossistema criminoso de ransomware. Ransomware é um tipo de software malicioso que cifra os arquivos de uma organização, tornando-os completamente inacessíveis, e exige pagamento para devolver o acesso.

O grupo não cria o ransomware do zero. Ele atua como afiliado, um modelo em que os criminosos fazem acordo com os desenvolvedores do malware, usam a ferramenta e ficam com uma parte do resgate obtido.

Por esse caminho, o Velvet Tempest deixou rastros em algumas das campanhas de ransomware nos últimos anos, incluindo Ryuk, REvil, Conti, BlackCat/ALPHV, LockBit e RansomHub.

A porta de entrada

O ataque começa com malvertising, uma técnica de publicidade maliciosa, na qual os criminosos pagam por anúncios online que levam a vítima a uma página falsa. Não é preciso fazer nada fora do comum.

Essa página usa duas camadas de engano combinadas. A primeira é um falso CAPTCHA, aquele sistema de verificação que sites usam para confirmar se quem acessa é humano ou um robô automatizado.

A segunda é a técnica ClickFix, que instrui a vítima a abrir o Windows Run, a pequena janela de execução do sistema operacional acessada com Win+R, e colar um comando que já foi copiado automaticamente para a área de transferência do computador.

A página apresenta isso como uma etapa de verificação normal. A vítima cola o comando e, sem saber, executa código malicioso diretamente no próprio sistema.

Como o ataque avança sem ser detectado

O comando colado é ofuscado, ou seja, escrito de forma propositalmente ilegível para dificultar que ferramentas de segurança ou humanos entendam o que ele faz. A execução dispara uma série de processos encadeados usando ferramentas legítimas do próprio Windows.

Essa estratégia é chamada de Living off the Land, ou “viver da terra”. A lógica é usar ferramentas que o sistema operacional já considera confiáveis, os criminosos reduzem muito as chances de serem detectados por antivírus.

Uma das ferramentas abusadas é o finger.exe, um utilitário antigo do Windows criado originalmente para consultar informações sobre usuários em redes remotas.

Por ser raramente monitorado, ele foi usado para baixar os primeiros loaders, que são programas maliciosos cuja função é não causar dano direto, mas baixar e executar outros malwares mais complexos. Um dos primeiros arquivos baixados no computador da vítima era um arquivo comprimido disfarçado de PDF.

O que os criminosos fazem depois de entrar

Após o acesso inicial, operadores humanos assumem o controle direto. Esse tipo de atuação, chamado de hands-on keyboard no jargão da área, é especialmente perigoso porque um humano especializado consegue se adaptar a obstáculos e tomar decisões em tempo real, algo que scripts automatizados não conseguem.

Dentro da rede da vítima, o grupo realizou reconhecimento do Active Directory, que é o sistema da Microsoft responsável por gerenciar usuários, computadores e permissões em redes corporativas.

Quem mapeia o Active Directory de uma organização tem acesso ao “mapa de poder” da estrutura, conseguindo identificar quais contas têm mais privilégios e por onde é possível se mover pela rede.

Os criminosos também usaram um script em PowerShell, uma linguagem de automação nativa do Windows, para roubar senhas salvas no navegador Google Chrome.

Esse script estava hospedado em um endereço IP que pesquisadores associaram à infraestrutura do ransomware Termite, o mesmo grupo que já atacou a provedora de software Blue Yonder e a clínica de fertilização australiana Genea. Isso indica que diferentes grupos criminosos compartilham ferramentas e infraestrutura entre si.

Os dois malwares implantados

Nos estágios finais, o Velvet Tempest implantou dois programas maliciosos no ambiente da vítima. O primeiro é o DonutLoader, um loader sofisticado que injeta código diretamente na memória dos processos em execução, sem criar arquivos no disco. Essa técnica é chamada de execução fileless, ou “sem arquivo”.

Ferramentas de segurança tradicionais focam em analisar arquivos e, quando não há arquivo para analisar, a detecção se torna muito mais difícil.

O segundo é o CastleRAT, um RAT, sigla para Remote Access Trojan, que em português significa trojan de acesso remoto. Um RAT permite que o atacante controle o computador da vítima à distância, visualizando a tela, executando comandos, transferindo arquivos e capturando tudo que é digitado.

O CastleRAT está associado ao CastleLoader, um loader conhecido por distribuir múltiplas famílias de malware, incluindo o LummaStealer, um programa especializado em roubar credenciais, cookies de sessão e carteiras de criptomoeda.

Para garantir que os malwares continuassem ativos mesmo após reinicializações, componentes baseados em Python foram instalados na pasta C:\ProgramData, um diretório que o Windows reserva para aplicativos legítimos, o que ajuda a camuflar a presença maliciosa.

O golpe que não veio

O modelo de ataque habitual do Velvet Tempest é de dupla extorsão. Os criminosos primeiro roubam os dados da organização e depois cifram tudo. Assim, mesmo que a vítima tenha backup, o grupo ainda ameaça publicar o que foi roubado. Duas alavancas de pressão ao mesmo tempo.

Nessa intrusão específica, porém, o ransomware Termite não chegou a ser implantado. Os pesquisadores da MalBeacon não concluíram se isso se deve ao fato de o ataque ter sido interrompido pela detecção ou se o grupo ainda estava em fase de reconhecimento antes do golpe final.

Acompanhe o TecMundo nas redes sociais. Para mais notícias de segurança e tecnologia, inscreva-se em nossa newsletter e canal do YouTube.

autor de origem

Compartilhar 0 FacebookTwitterLinkedinWhatsapp
postagem anterior
Ataque contra a Guarda Costeira do Paquistão no Mar da Arábia deixa três mortos
próxima postagem
Guerra contra o Irã custou a Israel US$11,5 bilhões, diz ministério

Você também pode gostar

A Odisseia, Heartstopper e mais! Os lançamentos de...

12 de julho de 2026

LETS PIU: jogo de celular transforma shoppings em...

12 de julho de 2026

14 animes de romance Tsundere para maratonar

12 de julho de 2026

Rancho Dutton: 6 das maiores perguntas sem resposta...

12 de julho de 2026

POSTS MAIS RECENTES

  • A Odisseia, Heartstopper e mais! Os lançamentos de filmes e séries da semana (12/07)
  • Revalida 2026/1: divulgado resultado final da primeira etapa do exame
  • Motorista fica ferido após bater carro contra poste e árvore em Sousas; veja vídeo
  • LETS PIU: jogo de celular transforma shoppings em Battle Royale da vida real
  • Luisa Stefani e Gabriela Dabrowski são vice-campeãs em Wimbledon

Siga-nos

  • Recente
  • Popular
  • A Odisseia, Heartstopper e mais! Os lançamentos de filmes e séries da semana (12/07)

    12 de julho de 2026
  • Revalida 2026/1: divulgado resultado final da primeira etapa do exame

    12 de julho de 2026
  • Motorista fica ferido após bater carro contra poste e árvore em Sousas; veja vídeo

    12 de julho de 2026
  • LETS PIU: jogo de celular transforma shoppings em Battle Royale da vida real

    12 de julho de 2026
  • 1

    Assessor ⁠da Casa Branca diz que novo chair do Fed deve ser “uma pessoa independente”

    22 de janeiro de 2026
  • 2

    IPVA mais caro do Brasil custa R$ 1 milhão; veja o carro mais caro de cada estado

    20 de janeiro de 2026
  • 3

    ⁠Infantino tem razão? Será que o futebol não existiria em ‘150 países’ sem a FIFA?

    5 de abril de 2026
  • 4

    ⁠Infantino tem razão? Será que o futebol não existiria em ‘150 países’ sem a FIFA?

    5 de abril de 2026

Postagens em destaque

14 animes de romance Tsundere para maratonar

12 de julho de 2026

Vivências de brasileiros na pandemia são tema de mostra...

12 de julho de 2026

Fiat Uno Mille: a história e os primeiros...

12 de julho de 2026

IBGE inicia coleta da Pesquisa Nacional de Saúde...

12 de julho de 2026

Rancho Dutton: 6 das maiores perguntas sem resposta...

12 de julho de 2026

Leitura obrigatória

  • A Odisseia, Heartstopper e mais! Os lançamentos de filmes e séries da semana (12/07)

    12 de julho de 2026
  • Revalida 2026/1: divulgado resultado final da primeira etapa do exame

    12 de julho de 2026
  • Motorista fica ferido após bater carro contra poste e árvore em Sousas; veja vídeo

    12 de julho de 2026
  • LETS PIU: jogo de celular transforma shoppings em Battle Royale da vida real

    12 de julho de 2026
  • Luisa Stefani e Gabriela Dabrowski são vice-campeãs em Wimbledon

    12 de julho de 2026

Newsletter

Posts relacionados

  • A Odisseia, Heartstopper e mais! Os lançamentos de filmes e séries da semana (12/07)

    12 de julho de 2026
  • LETS PIU: jogo de celular transforma shoppings em Battle Royale da vida real

    12 de julho de 2026
  • 14 animes de romance Tsundere para maratonar

    12 de julho de 2026
  • Rancho Dutton: 6 das maiores perguntas sem resposta para a 2ª temporada

    12 de julho de 2026
  • Kingdom Come: Deliverance II de graça, coletânea de GTA baratinha e mais! Veja as indicações de games da semana

    12 de julho de 2026

Mais vistas da semana

⁠Infantino tem razão? Será que o futebol não existiria em ‘150 países’ sem a FIFA?
5 de abril de 2026
⁠Infantino tem razão? Será que o futebol não existiria em ‘150 países’ sem a FIFA?
5 de abril de 2026
Tudo sobre Witch Hat Atelier, anime de fantasia que conquistou muitos fãs
5 de julho de 2026

Postagens Aleatórias

Zema e Caiado responsabilizam política externa de Lula por tarifaço
3 de junho de 2026
Artemis e a exploração espacial, 50 anos de Apple, Gemini expõe usuária com falha grave [Sem Manual]
10 de abril de 2026
Falta de água atinge bairro de Campinas hoje; veja qual
21 de maio de 2026

Categorias Populares

  • Tecnologia (6.112)
  • Política (3.650)
  • Mundo (3.258)
  • Campinas (2.127)
  • Negócios (1.271)
  • Economia (1.255)
  • Auto (1.144)
  • Bragança Paulista (1.123)
  • Esporte (818)
  • Saúde (504)

Notícias de São Paulo e do mundo, em tempo real. Cobertura completa de política, economia, mercado, cidades e assuntos que importam — com contexto e credibilidade.

Facebook Twitter Instagram Linkedin Youtube

Copyright © 2026 SampaNews. Todos os Direitos Reservados.

  • Anuncie
  • Contato
  • Política de Privacidade
sampanews.com
  • Home