Campanha financeira combina chamadas falsas de suporte, sessões de tela, abuso de ferramentas legítimas e possível acesso físico para furtar documentos jurídicos, dados pessoais e registros financeiros.
| Componente | Ambientes corporativos de serviços jurídicos, profissionais e financeiros nos Estados Unidos, com foco em estáções de trabalho, VDI, OneDrive, repositórios documentais como iManage e contas de e-mail corporativo. |
| Vetor | Vishing direcionado com pretextos de suporte de TI, migração de dados ou cobrança, seguido por sessões de compartilhamento de tela, instalação socialmente induzida de RMM e, em casos possivelmente relacionados, presença física de falso técnico com mídia USB. |
| Impacto | Busca, preparação e exfiltração de acordos jurídicos, PII, registros financeiros, documentos fiscais, arquivos de auditoria e contratos de clientes para extorsão posterior. |
| Prioridade | Restringir RMM e controle remoto não autorizado, bloquear mídia removível, endurecer acesso BYOD a VDI/VPN, monitorar transferências volumosas e exigir validação fora de banda para suporte remoto ou presencial. |
| Artefatos | Uso observado de Zoom, Microsoft Teams, Quick Assist, Microsoft Terminal Services, AnyDesk, Bomgar, Zoho Assist, tentativa de agente SuperOps RMM, WinSCP, Rclone, Windows365.exe, clientes Citrix e mensagens via privnote[.]com. |
| IoCs | Infraestrutura citada inclui o DLS defangado hxxps[:]//business-data-leaks[.]com, padrões de domínios -itdesk[.]com, -it[.]com, -helpdesk[.]com e endereços IP como 192.236.147[.]131, 193.141.60[.]212 e 64.94.84[.]97. |
Entre janeiro e maio de 2026, o cluster UNC3753 conduziu uma campanha de furto de dados e extorsão contra dezenas de organizações nos setores jurídico, financeiro e de serviços profissionais nos Estados Unidos. O grupo também é rastreado como Luna Moth, Chatty Spider e Silent Ransom Group, e opera com motivação financeira. O modelo observado não depende inicialmente de malware entregue por anexo ou link malicioso tradicional. A entrada começa com engenharia social por e-mail e telefone, usando mensagens benignas sobre faturas, migração de dados ou supostos problemas de segurança para criar contexto e aumentar a chance de a vítima aceitar uma ligação posterior.
O ponto central da campanha é o vishing. Os operadores se passam por equipe interna de TI ou segurança, contatam funcionários de diferentes níveis hierárquicos e os conduzem a sessões de compartilhamento de tela. A partir daí, a defesa baseada apenas em gateway de e-mail, sandbox de anexos ou bloqueio de URLs perde eficiência, porque a interação passa a ocorrer em tempo real, com ferramentas legítimas e ações executadas pelo próprio usuário. Em vários incidentes, a sequência completa, do primeiro contato à exfiltração e à mensagem de extorsão, ocorreu dentro de um único dia útil; em casos recentes, busca, preparação e furto de dados começaram em menos de uma hora.
O alvo operacional é documentação de alto valor. Em escritórios de advocacia e organizações correlatas, os repositórios concentram contratos de clientes, acordos proprietários, documentos fiscais, arquivos de auditoria, registros financeiros, PII e números de seguridade social dos Estados Unidos. Essa concentração aumenta o poder de coerção: após a saída do ambiente, o cluster envia e-mails agressivos de extorsão, normalmente sem marca de ransomware, com prazo de três dias para resposta e ameaça de contato direto com funcionários, clientes e parceiros caso a vítima não negocie.
A cadeia costuma começar com e-mails curtos de aparência inofensiva, enviados de contas de consumo controladas pelo ator. Esses e-mails podem mencionar uma fatura discutida anteriormente e não trazem anexo nem link ativo. A função do texto é psicológica e operacional: criar um pretexto para a chamada, induzir preocupação no destinatário e fazer com que uma ligação de suposto suporte pareça uma continuidade natural do problema. A seleção de vítimas aproveita dados públicos, como nomes, cargos, telefones e e-mails listados em páginas institucionais.
Durante a chamada, o operador orienta a vítima a entrar em uma sessão de suporte ou reunião com controle de tela. Foram observados Zoom, Microsoft Teams, Quick Assist e Microsoft Terminal Services, além de tentativas de instalar ferramentas comerciais de RMM como AnyDesk, Bomgar e Zoho Assist. Em um caso, o ator tentou induzir a instalação de um agente SuperOps RMM por meio de uma instrução de download e execução; o comando operacional foi omitido, mas o efeito técnico era baixar um instalador MSI de infraestrutura controlada pelo ator e executá-lo de modo silencioso. Também houve uso recorrente de privnote[.]com para entregar links ou instruções efêmeras, reduzindo rastros permanentes em histórico de navegador e conversas.
Depois de obter controle remoto ou influência sobre a sessão, o cluster pivota para ativos corporativos. Em incidentes envolvendo BYOD, a sessão ocorreu no notebook pessoal do funcionário e, por meio dele, o operador acessou VDI corporativo usando Windows365.exe ou clientes Citrix. Dentro do ambiente, a atividade inclui enumeração de diretórios locais, pastas sincronizadas do OneDrive e unidades de rede mapeadas. Em repositórios jurídicos como iManage, os operadores usam buscas por palavras-chave para localizar documentos fiscais, formulários W-2, W-9 e 1099, arquivos de auditoria, acordos empresariais e pastas com identificadores pessoais. Os resultados são preparados em subdiretórios acessíveis ao usuário, principalmente Downloads ou caminhos do perfil Roaming.
A exfiltração usa métodos compatíveis com tráfego administrativo comum. Em alguns casos, arquivos preparados são enviados por navegador para contas de compartilhamento de arquivos controladas pelo ator, com pastas renomeadas para imitar a marca da organização vítima. Quando controles de endpoint dificultam upload via navegador, são usados binários portáteis de WinSCP ou Rclone para transferências em massa. Um incidente citado envolveu 1,7 GB retirado de OneDrive local para uma conta Google Drive e, depois, mais 14,4 GB exfiltrados a partir de uma sessão VDI com WinSCP. Também foi observado envio de arquivos de iManage para endereços de e-mail de consumo controlados pelo ator, usando a própria caixa postal da vítima.
A superfície exposta não se limita ao endpoint corporativo tradicional. O cluster explora a zona cinzenta entre identidade, suporte remoto, BYOD, VDI, repositórios documentais e processos físicos de atendimento técnico. Se um usuário consegue abrir reunião com controle de tela, instalar utilitário autorizado para suporte ou acessar VDI a partir de um dispositivo pessoal, o ator pode transformar permissões legítimas do usuário em caminho de coleta. MFA continua relevante, mas não resolve a situação quando a própria sessão autenticada é operada ou guiada pelo atacante.
Há ainda um componente físico relevante. Incidentes possivelmente associados ao UNC3753 envolveram pessoas se passando por técnicos de TI em escritórios corporativos, alegando necessidade de criar imagem do dispositivo ou fazer backup local para tratar um suposto problema de segurança. O objetivo descrito era obter acesso ao endpoint e copiar dados para mídia USB. A atribuição desses eventos físicos tem limite: a evidência forense disponível e a ausência de extorsão posterior impediram confirmação formal em alguns casos, mas há sobreposição de estrutura, cronologia e vitimologia com a campanha digital.
- Funcionários listados publicamente em sites corporativos, independentemente de senioridade, expostos a coleta de telefone e e-mail para vishing.
- Estáções BYOD usadas como ponte para VDI, VPN, Windows 365 e Citrix quando políticas permitem acesso a partir de dispositivos não corporativos.
- Repositórios de documentos jurídicos e financeiros, incluindo
iManage, SharePoint, OneDrive local sincronizado, unidades de rede mapeadas e e-mail corporativo. - Ambientes que permitem execução de RMM, FTP/SFTP portátil, clientes de sincronização ou controle interativo de tela sem validação adicional.
- Recepções e escritórios sem validação fora de banda de técnicos, ordens de serviço e acompanhamento presencial durante intervenção em endpoints.
A detecção precisa combinar sinais humanos, endpoint, rede, identidade e aplicação. Como a primeira mensagem pode não carregar artefatos maliciosos, a investigação deve correlacionar e-mails de cobrança genéricos vindos de contas de consumo com chamadas recebidas, convites de reunião e início de sessões de controle remoto. Em endpoint, a sequência de interesse inclui download ou execução de instaladores MSI, criação de processos associados a ferramentas RMM não aprovadas, execução de binários portáteis de transferência, staging em Downloads ou Roaming e compressão ou movimentação de grande volume de documentos sensíveis.
Em VDI e rede, a defesa deve observar transferências anormais para serviços de compartilhamento de arquivos, sessões SSH na porta 22 saindo de estáções ou VDIs que normalmente não realizam SFTP, e padrões de bytes transferidos incompatíveis com o perfil do usuário. Em aplicações documentais, o melhor sinal pode estar nos logs de busca e acesso: picos de pesquisa por termos fiscais, leitura sequencial de muitas pastas, downloads em massa, acesso a arquivos de múltiplos clientes em curto intervalo e criação de conjuntos temporários em diretórios do usuário. No e-mail, vale procurar mensagens enviadas para contas de consumo com anexos ou links contendo documentos internos pouco antes de uma tentativa de extorsão.
A telemetria também deve incluir presença física e mídia removível. Eventos de instalação de USB storage, escrita em dispositivo removível, alteração de política local e acesso a endpoint por visitante precisam ser revisados junto com registros de recepção e ordens de serviço. Para os IoCs informados, a publicação de listas grandes não é necessária; defensivamente, exemplos defangados como 192.236.147[.]131, 192.236.147[.]138, 193.141.60[.]212, 192.236.154[.]158, 192.236.146[.]173, 174.169.162[.]62 e 64.94.84[.]97 podem ser usados como pivôs iniciais, com cuidado para não depender apenas de indicador estático.
- E-mails curtos de tema financeiro sem link ou anexo, seguidos por chamadas de suporte, reuniões de tela ou instruções para usar ferramenta remota.
- Execução de MSI baixado por utilitário de transferência, presença de
SuperOps.msi, AnyDesk, Bomgar, Zoho Assist,WinSCPouRclonefora do catálogo aprovado. - Acesso a
privnote[.]compróximo a sessões de suporte remoto ou a eventos de instalação de software. - Picos de busca e download em
iManage, SharePoint, OneDrive, unidades mapeadas e diretórios de e-mail, especialmente envolvendo documentos fiscais e acordos de clientes. - Tráfego volumoso para contas de armazenamento de consumo, transferências SFTP/SSH na porta 22 e uploads por navegador para destinos não corporativos.
- Eventos de mídia USB, instalação de dispositivo removível e cópia local em endpoints após visita técnica não confirmada por canal corporativo.
A resposta deve começar pela redução de confiança implícita em suporte remoto. Organizações precisam manter uma lista de ferramentas RMM e screen sharing autorizadas, bloquear execução de utilitários não aprovados e exigir validação fora de banda antes de qualquer sessão em que um usuário compartilhe tela, conceda controle ou instale software. Controles como Windows Defender Application Control ou soluções equivalentes devem impedir binários portáteis e instaladores não assinados ou não permitidos pela política. Em plataformas como Teams e Zoom, recursos de controle interativo devem ser restritos por perfil e contexto, principalmente para usuários com acesso a documentos sensíveis.
Para VDI, VPN e BYOD, o controle deve garantir que apenas dispositivos corporativos gerenciados acessem recursos internos críticos, ou que dispositivos pessoais passem por verificação forte de postura, MFA adaptativo e registro de sessão. O acesso a repositórios como iManage deve exigir MFA, alertas em tempo real para busca e download em massa, e limites proporcionais ao papel do usuário. Como o ator usa a sessão legítima da vítima, revisões de permissão mínima e segmentação de acervos por cliente, área e necessidade operacional reduzem o volume que pode ser coletado rapidamente.
O vetor físico exige política própria, não apenas conscientização. Visitantes técnicos devem apresentar credencial e identificação, ser registrados pela recepção, ter sua chegada confirmada diretamente com a organização ou dispatcher verificado e permanecer acompanhados por funcionário responsável. Endpoints devem bloquear instalação e escrita em mídia USB por GPO, MDM ou controle equivalente, inclusive em dispositivos usados para entrada em VDI quando a política permitir BYOD. Após qualquer suspeita, a contenção deve preservar logs de reunião, endpoint, VDI, firewall, aplicação documental, e-mail e controle de acesso físico, além de revisar todos os destinos de upload e contas usadas na janela do incidente.
- Bloquear RMM, FTP/SFTP portátil e ferramentas de controle remoto fora do catálogo aprovado, com exceções documentadas e revisadas.
- Exigir verificação fora de banda para chamados de suporte, migrações, visitas técnicas e qualquer pedido para instalar software ou compartilhar tela.
- Restringir VDI/VPN a dispositivos gerenciados ou aplicar postura de dispositivo, MFA de reforço e monitoramento de sessão para BYOD.
- Criar alertas para busca, staging e download em massa em
iManage, SharePoint, OneDrive, e-mail corporativo e unidades de rede. - Desabilitar escrita em mídia removível e registrar tentativas de instalação ou uso de USB storage em endpoints corporativos.
- Monitorar volume de saída, uploads para armazenamento de consumo, SSH na porta 22 e uso anômalo de
WinSCPouRclone. - Preparar playbooks de extorsão por dados com preservação de evidência, escopo de documentos acessados, comunicação jurídica e validação de exposição sem negociar com base apenas em alegações do ator.
0 Comentários