Uma nova campanha de phishing multifásica foi identificada, visando usuários na Rússia com ransomware e um trojan de acesso remoto chamado Amnesia RAT. O ataque começa com documentos de aparência rotineira que utilizam engenharia social para enganar as vítimas. Esses documentos contêm scripts maliciosos que operam em segundo plano, enquanto distraem o usuário com tarefas falsas. A campanha se destaca pelo uso de serviços de nuvem públicos, como GitHub e Dropbox, para distribuir diferentes tipos de cargas úteis, dificultando a remoção. Além disso, um recurso chamado defendnot é utilizado para desativar o Microsoft Defender, permitindo que o malware opere sem ser detectado. O ataque utiliza arquivos de atalho maliciosos que, ao serem executados, baixam scripts adicionais que estabelecem um ponto de controle no sistema. O Amnesia RAT, uma das cargas finais, é capaz de roubar dados sensíveis e controlar remotamente o sistema, enquanto um ransomware derivado da família Hakuna Matata criptografa arquivos e altera endereços de carteiras de criptomoedas. A campanha evidencia como ataques modernos podem comprometer sistemas sem explorar vulnerabilidades de software, utilizando recursos nativos do Windows para desativar defesas e implantar ferramentas de vigilância e cargas destrutivas.
Fonte: https://thehackernews.com/2026/01/multi-stage-phishing-campaign-targets.html
⚠️BR DEFENSE CENTER: SECURITY BRIEFING
24/01/2026 • Risco: ALTO
RANSOMWARE
Campanha de phishing multifásica ataca usuários na Rússia com ransomware
RESUMO EXECUTIVO
A campanha de phishing multifásica destaca a vulnerabilidade de sistemas corporativos a ataques que utilizam engenharia social e malware avançado. A desativação de ferramentas de segurança como o Microsoft Defender e a capacidade de roubo de dados sensíveis tornam este incidente uma preocupação crítica para a segurança cibernética no Brasil.
💼 IMPACTO DE NEGÓCIO
Financeiro
Possíveis perdas financeiras significativas devido a roubo de dados e interrupção de operações.
Operacional
Roubo de dados sensíveis, controle remoto de sistemas, criptografia de arquivos.
Setores vulneráveis
['Setores financeiros, tecnologia, e qualquer setor que utilize Windows como sistema operacional.']
📊 INDICADORES CHAVE
Uso de múltiplos serviços de nuvem para distribuição de malware.
Indicador
Delay de 444 segundos introduzido no script para enganar a vítima.
Contexto BR
Captura de tela a cada 30 segundos pelo módulo .NET.
Urgência
⚡ AÇÕES IMEDIATAS
1
Verificar se o Microsoft Defender está ativo e se a proteção contra alterações está habilitada.
2
Implementar políticas de segurança que restrinjam a execução de scripts não autorizados e monitorem atividades suspeitas.
3
Monitorar continuamente logs de segurança e chamadas de API do Windows Security Center.
🇧🇷 RELEVÂNCIA BRASIL
CISOs devem se preocupar com a eficácia das defesas contra ataques que exploram recursos nativos do sistema, além do impacto financeiro e de reputação que um ataque desse tipo pode causar.
⚖️ COMPLIANCE
Implicações significativas para a conformidade com a LGPD, especialmente em casos de roubo de dados pessoais.
Este conteúdo foi processado automaticamente pelo BR Defense Center (By River de Morais e Silva).
