Uma campanha de phishing multifásica avançada está atualmente sendo observada visando usuários e organizações na Rússia, combinando técnicas sofisticadas de engenharia social com a entrega de duas das ameaças mais perigosas no cenário atual: o Amnesia RAT (Remote Access Trojan) é um ransomware derivado da família Hakuna Matata.
O ataque não depende de vulnerabilidades de software tradicionais, mas sim de processos nativos do Windows, abuso de ferramentas legítimas e serviços públicos de nuvem para evitar a detecção — o que demonstra a evolução das táticas de cibercriminosos em campanhas de malware modernas.
- Leia Também: Cisco corrige vulnerabilidade zero-day CVE-2026-20045 explorada ativamente no Unified CM e no Webex
- Leia Também: A campanha norte-coreana PurpleBravo teve como alvo 3.136 endereços IP por meio de falsas entrevistas de emprego
- Leia Também: Zoom e GitLab lançam atualizações de segurança que corrigem falhas de execução remota de código (RCE), negação de serviço (DoS) e evasão da autenticação de dois fatores (2FA)
O que torna essa campanha diferente?
Essa campanha se destaca por vários motivos:
Várias etapas de execução
O ataque é entregue por meio de um arquivo ZIP enviado por phishing que contém:
- Documentos “isca” aparentemente legítimos, com temas de trabalho ou administrativos
- Um atalho malicioso (.LNK) com dupla extensão para parecer um arquivo inocente
Quando aberto, o atalho dispara um script PowerShell que busca a próxima fase do ataque e mantém o usuário distraído com conteúdos falsos enquanto a execução maliciosa continua em segundo plano.
Uso de serviços públicos de nuvem
Os scripts e binários são distribuídos usando plataformas públicas:
- GitHub para scripts de primeira etapa
- Dropbox para payloads maiores (como o Amnesia RAT)
Essa separação torna a campanha mais difícil de derrubar por completo, pois cada etapa pode ser hospedada em serviços diferentes.
Abuso de recursos de proteção do Windows
O ataque usa uma ferramenta chamada defendnot para registrar um produto antivírus falso no Windows ― fazendo com que o Microsoft Defender seja desativado automaticamente e sem alertar o usuário.
O que faz o Amnesia RAT?
Após essa sequência de etapas, o Amnesia RAT (baixe identificada como svchost.scr) é implantado. Essa ameaça é extremamente poderosa porque permite ao atacante:
- Obter controle remoto total do sistema
- Realizar exfiltração de dados (cookies, credenciais, histórico de navegadores)
- Capturar screenshots periódicos
- Controlar processos e executar comandos arbitrários
- Implantar cargas adicionais de malware
- Exfiltrar grandes volumes de dados via HTTPS ou APIs de bot do Telegram
Essas capacidades tornam o RAT um recurso valioso para espionagem, roubo de credenciais ou preparação para ataques subsequentes.
O ransomware na sequência
Como parte da mesma campanha, um ransomware derivado da família Hakuna Matata é entregue após o Amnesia RAT comprometer o sistema. Esse ransomware:
- Criptografa arquivos importantes (documentos, código, imagens, mídia)
- Interrompe processos que possam impedir a criptografia
- Pode modificar endereços de carteiras de criptomoedas no porta papeis do usuário para direcionar transações
Além disso, a campanha inclui o uso de outro módulo chamado WinLock, que restringe a interação do usuário com o sistema comprometido após a execução maliciosa.
Como essa campanha começa
A engenharia social está no coração do ataque:
- O usuário recebe um e-mail com um arquivo ZIP malicioso.
- O ZIP contém um atalho com um nome em russo e dupla extensão para disfarçar a ameaça.
- Ao clicar, um script PowerShell é executado sem aviso visual.
- O script baixa e executa as etapas seguintes em memória, dificultando a detecção.
- A vítima vê um documento legítimo como distração enquanto o malware se instala.
Por que essa campanha é perigosa
Essa campanha é especialmente preocupante porque:
- Não depende de vulnerabilidades de software — usa recursos nativos do Windows contra o próprio sistema.
- Os instrumentos de proteção, como Microsoft Defender, são desativados pela própria cadeia de ataque.
- A separação dos payloads em serviços públicos aumenta a resiliência da campanha contra bloqueios e remoções.
- O atacante obtém controle completo do sistema antes de implantar ransomware, o que pode causar perda de dados e prejuízos operacionais.
Como se proteger contra campanhas sofisticadas de phishing
Boas práticas de segurança
- Treine sua equipe para identificar e-mails de phishing, mesmo quando parecem legítimos.
- Nunca abra anexos ou atalhos desconhecidos, mesmo de remetentes familiares.
- Ative a Proteção contra Manipulação (Tamper Protection) no Microsoft Defender.
- Use soluções EDR/antivírus robustas e mantenha políticas restritivas de execução de scripts.
- Monitore e restrinja a execução de PowerShell e scripts em geral em sistemas críticos.
- Desative macros e scripts automatizados por padrão.
Proteja sua infraestrutura digital
Para organizações e usuários que dependem de sistemas Windows e serviços na nuvem, a segurança não pode ficar em segundo plano.
Hospede seus serviços com infraestrutura segura, confiável e atualizada, que ajuda a reduzir vetores de ataque e garante suporte técnico especializado.
A campanha de phishing em múltiplas etapas que mira usuários na Rússia com o Amnesia RAT e ransomware representa uma evolução significativa nas táticas dos cibercriminosos — combinando engenharia social avançada, uso de serviços públicos de nuvem e abuso de recursos do Windows para comprometer sistemas de forma furtiva e eficaz.
Esse tipo de ataque mostra que a proteção contra ameaças modernas deve incluir treinamentos, tecnologia de ponta e políticas rígidas de defesa, não apenas soluções básicas de antivírus.
FAQ – Perguntas frequentes
O que é um RAT?
Um Remote Access Trojan (RAT) é um malware que proporciona ao atacante controle remoto completo do sistema infectado.
Por que o ransomware é perigoso?
Ele criptografa seus dados e pode pedir resgate ou causar perda permanente de informações.
Como os e-mails de phishing enganam os usuários?
Eles usam temas e formatos aparentemente legítimos para induzir ao erro, levando o usuário a abrir arquivos maliciosos.
A campanha depende de vulnerabilidades do Windows?
Não — ela usa recursos nativos e scripts PowerShell para executar todas as etapas sem explorar falhas de software tradicionais.
