Um grupo notório de ransomware está a espalhar anúncios falsos do Microsoft Teams para atrair vítimas

Os utilizadores que procuram o Microsoft Teams precisam de ter muito cuidado ultimamente, pois o grupo de ransomware Rhysida tem promovido anúncios falsos para enganar as pessoas a descarregar malware. A empresa de cibersegurança Expel descobriu que estes anúncios enganosos distribuem um tipo de malware chamado OysterLoader, anteriormente conhecido como Broomstick e CleanUpLoader. Esta não é a primeira vez que o Rhysida se faz passar pelo Microsoft Teams; na verdade, é a sua segunda campanha em apenas um ano e meio. O OysterLoader atua como uma ferramenta de acesso inicial (IAT), o que significa que, uma vez instalado, abre uma porta traseira no dispositivo e na rede da vítima, permitindo aos atacantes manter acesso a longo prazo.\n\nO método de ataque aqui é bastante inteligente e baseia-se fortemente em malvertising. O Rhysida compra anúncios no motor de busca Bing que parecem legítimos e direcionam os utilizadores para páginas de download que parecem oficiais, mas são na verdade maliciosas. Aaron Walton, analista de inteligência de ameaças na Expel, explicou que estes anúncios facilitam que as vítimas encontrem e descarreguem o malware porque está mesmo ali nos resultados da pesquisa. Embora o Microsoft Teams seja a isca atual, o grupo já usou anteriormente outras aplicações populares como PuTTY e Zoom para atrair vítimas.\n\nPara dificultar a deteção, o Rhysida usa ferramentas de empacotamento que mascaram as verdadeiras funções do malware, o que resulta em baixas taxas de deteção quando o malware aparece pela primeira vez. O grupo também utiliza certificados de assinatura de código que normalmente são reservados para editores de software genuínos. Este truque aumenta a confiabilidade dos seus ficheiros maliciosos e ajuda-os a evitar suspeitas imediatas. Curiosamente, estes certificados tendem a ser revogados rapidamente, o que na verdade ajuda as empresas de segurança a identificar quando começam novas ondas da campanha, já que certificados novos indicam novos lotes de malware a serem lançados.\n\nAlém do OysterLoader, o Rhysida também está a implantar outro malware chamado Latrodectus para acesso inicial à rede. A Expel observou isto enquanto analisava ficheiros para desenvolver regras de deteção. O Rhysida destaca-se entre os grupos cibercriminosos porque usa o serviço Trusted Signing da Microsoft para adquirir certificados de assinatura de código — algo concebido para prevenir o uso indevido de certificados. Parece que descobriram formas de contornar as proteções incorporadas destinadas a impedir este tipo de abuso.\n\nOriginário como Vice Society em 2021, o grupo rebatizou-se como Rhysida em 2023 e opera sob um modelo de Ransomware como Serviço (RaaS) com uma tática de dupla extorsão. Desde então, listaram publicamente cerca de 200 vítimas no seu site de vazamento de dados, incluindo agências governamentais, prestadores de cuidados de saúde e infraestruturas críticas. Vítimas notáveis este ano incluem o Departamento de Qualidade Ambiental do Oregon, o Centro Médico Regional de Cookville no Tennessee, o Grupo Médico Sunflower no Kansas e a Community Care Alliance focada em doenças mentais e dependência. Também visaram o Departamento de Transportes de Maryland e a Biblioteca Britânica.\n\nEstes desenvolvimentos sublinham os riscos contínuos colocados por grupos sofisticados de ransomware como o Rhysida, que adaptam continuamente as suas táticas para evitar deteção e maximizar o impacto. É um lembrete claro para organizações e indivíduos permanecerem vigilantes, especialmente ao descarregar software de fontes online. Verifique sempre os links de download através de canais oficiais para evitar cair em esquemas maliciosos deste tipo.