Grupo Velvet Tempest usa técnicas avançadas para implantar malware
O grupo de cibercriminosos conhecido como Velvet Tempest, também identificado como DEV-0504, tem utilizado a técnica ClickFix e utilitários legítimos do Windows para implantar o malware DonutLoader e o backdoor CastleRAT. Pesquisadores da MalBeacon monitoraram as atividades do grupo em um ambiente simulado de uma organização sem fins lucrativos nos EUA, onde foram observadas ações como reconhecimento do Active Directory e coleta de credenciais armazenadas no Chrome. A invasão inicial ocorreu através de uma campanha de malvertising que direcionou as vítimas a inserir um comando ofuscado no diálogo de execução do Windows. Este comando ativou uma cadeia de comandos que buscou os primeiros carregadores de malware. Embora o Velvet Tempest seja conhecido por ataques de dupla extorsão, nesta intrusão específica não foi implantado o ransomware Termite, que já afetou vítimas de alto perfil. A técnica ClickFix tem sido adotada por outros grupos de ransomware, evidenciando uma tendência crescente de uso de engenharia social em ataques cibernéticos.