O grupo de ameaças alinhado à Bielorrússia, conhecido como Ghostwriter, tem utilizado iscas relacionadas à plataforma de aprendizado online Prometheus para atacar organizações governamentais na Ucrânia. Desde a primavera de 2026, o grupo tem enviado e-mails de phishing a entidades governamentais, utilizando contas comprometidas. Os e-mails geralmente contêm um anexo PDF que, ao ser clicado, leva ao download de um arquivo ZIP com um script JavaScript chamado OYSTERFRESH. Este script exibe um documento de distração enquanto escreve um payload ofuscado e criptografado, denominado OYSTERBLUES, no Registro do Windows. OYSTERBLUES coleta informações do sistema, como nome do computador e versão do sistema operacional, enviando esses dados para um servidor de comando e controle. O payload final é avaliado como Cobalt Strike, uma ferramenta amplamente utilizada para simulações de adversários e atividades pós-exploração. Para mitigar essa ameaça, o CERT-UA recomenda restringir a execução do wscript.exe para contas de usuários padrão. Além disso, o Conselho de Segurança Nacional e Defesa da Ucrânia revelou que a Rússia tem utilizado ferramentas de inteligência artificial para aprimorar suas operações cibernéticas, destacando a crescente sofisticação das ameaças.
Fonte: https://thehackernews.com/2026/05/ghostwriter-targets-ukraine-government.html
⚠️BR DEFENSE CENTER: SECURITY BRIEFING
22/05/2026 • Risco: ALTO
MALWARE
Grupo Ghostwriter usa phishing para atacar governo da Ucrânia
RESUMO EXECUTIVO
O uso de phishing e malware por grupos como Ghostwriter representa uma ameaça significativa para a segurança cibernética. A coleta de informações sensíveis e a utilização de ferramentas como Cobalt Strike indicam a necessidade de vigilância constante e medidas de mitigação eficazes. A situação exige que as organizações brasileiras estejam atentas às táticas de ataque e implementem controles rigorosos para proteger seus dados.
💼 IMPACTO DE NEGÓCIO
Financeiro
Possíveis perdas financeiras e de reputação devido a vazamentos de dados e interrupções operacionais.
Operacional
Coleta de informações sensíveis do sistema
Setores vulneráveis
['Governo', 'Educação', 'Tecnologia']
📊 INDICADORES CHAVE
Uso de contas comprometidas para phishing
Indicador
Coleta de dados como nome do computador e versão do OS
Contexto BR
Implementação de Cobalt Strike como payload final
Urgência
⚡ AÇÕES IMEDIATAS
1
Revisar logs de acesso e atividades suspeitas em contas de e-mail.
2
Restringir a execução de scripts maliciosos e revisar permissões de contas de usuários.
3
Monitorar continuamente atividades de rede e tentativas de acesso não autorizado.
🇧🇷 RELEVÂNCIA BRASIL
CISOs devem se preocupar com a crescente sofisticação das ameaças cibernéticas, especialmente com o uso de inteligência artificial e técnicas de engenharia social que podem ser aplicadas em diversos setores.
⚖️ COMPLIANCE
Implicações para a LGPD, especialmente em relação à proteção de dados pessoais.
Este conteúdo foi processado automaticamente pelo BR Defense Center (By River de Morais e Silva).
