Uma afiliada do ransomware 3AM tem usado chamadas falsas de suporte de TI e bombardeio de e-mails para invadir redes corporativas. A estratégia, que envolve engenharia social, busca convencer funcionários a fornecerem credenciais ou concederem acesso remoto aos sistemas.
Leia também
HTTPBot eleva risco de DDoS furtivos
Cadeia do RVTools comprometida com malware
Segundo a Sophos, entre novembro de 2024 e janeiro de 2025, ao menos 55 ataques com esse padrão foram identificados, envolvendo dois grupos distintos. A técnica já havia sido usada pela gangue Black Basta e pelo grupo FIN7, mas a sua eficácia levou à adoção por outros agentes de ameaça.
Em um ataque recente, o número de telefone do setor de TI da empresa-alvo foi falsificado. Durante o bombardeio de e-mails — com 24 mensagens em três minutos —, o invasor convenceu um funcionário a abrir o Microsoft Quick Assist, permitindo acesso remoto. Em seguida, um arquivo malicioso foi baixado contendo um script VBS, o emulador QEMU e uma imagem Windows com o backdoor QDoor.
O QEMU permitiu que os invasores mantivessem acesso à rede de forma oculta. Com esse acesso, realizaram reconhecimento com WMIC e PowerShell, criaram contas administrativas, instalaram a ferramenta XEOXRemote e comprometeram uma conta de administrador de domínio.
A Sophos conseguiu impedir a execução do ransomware 3AM e movimentos laterais, mas os atacantes ainda exfiltraram 868 GB de dados para o Backblaze usando o GoodSync. O ataque durou nove dias, e o roubo de dados foi concluído em três.
A Sophos recomenda auditoria de contas administrativas, uso de XDR para bloquear ferramentas legítimas não aprovadas e aplicação de políticas que permitam apenas execução de scripts assinados. Também é essencial treinar os funcionários para identificar tentativas de engenharia social e usar os indicadores de comprometimento para prevenir novas intrusões.
