Pesquisadores da Trellix identificaram uma sofisticada campanha de spear-phishing que utiliza a ferramenta legítima de acesso remoto NetBird para atingir CFOs e executivos financeiros em seis regiões do mundo incluindo Europa, África, Canadá, Oriente Médio e Sul da Ásia. O ataque começa com e-mails falsos de recrutadores da Rothschild & Co., oferecendo supostas “oportunidades estratégicas”. O objetivo é enganar as vítimas para que acessem um link escondido em um anexo PDF, que redireciona para um endereço hospedado no Firebase.
A infecção avança com o uso de CAPTCHA para liberar um arquivo ZIP contendo scripts maliciosos em VBScript. Esses scripts instalam o NetBird e o OpenSSH na máquina da vítima, criam uma conta local oculta, ativam acesso remoto e estabelecem persistência no sistema. A presença do NetBird é mascarada com a exclusão de seus atalhos, dificultando a detecção.
Embora o NetBird seja legítimo, o uso de ferramentas como essa tem crescido entre cibercriminosos, que também vêm explorando plataformas como Atera, Splashtop e ScreenConnect para burlar defesas. A Trellix também encontrou indícios de que o ataque está em curso há quase um ano.
Em paralelo, outras campanhas de phishing exploram domínios confiáveis, ferramentas como Notion e Google Apps Script, além de falhas antigas como a CVE-2017-11882 no Microsoft Office. Plataformas PhaaS como Tycoon 2FA e Haozi, que oferecem kits de phishing prontos e com suporte técnico, vêm popularizando o modelo “crime como serviço”, facilitando ataques para criminosos sem conhecimento técnico.
Leia mais na mesma categoria:
