Campanha de Spear-Phishing com NetBird mira CFOs e mostra tendência de uso de ferramentas legítimas em ataques avançados multirregionais

Pesquisadores da Trellix identificaram uma sofisticada campanha de spear-phishing direcionada a diretores financeiros (CFOs) e executivos de alto escalão de instituições financeiras, empresas de energia, seguradoras e fundos de investimento, com atuação confirmada na Europa, África, Canadá, Oriente Médio e Sul da Ásia. O ataque explora a ferramenta legítima de acesso remoto NetBird, baseada em WireGuard, para estabelecer persistência e controle sobre os dispositivos das vítimas, mascarando sua natureza maliciosa.

O ponto de partida da campanha é um e-mail fraudulento que se passa por um recrutador da Rothschild & Co., oferecendo uma vaga estratégica. Ao interagir com o falso anexo em PDF, a vítima é redirecionada para uma URL do Firebase. A infecção utiliza um CAPTCHA personalizado para liberar o link real, oculto e criptografado, levando ao download de um arquivo ZIP com um script malicioso em VBScript. Esse script executa múltiplos estágios de payloads, incluindo a instalação do NetBird e do OpenSSH, criação de contas ocultas e ativação do acesso remoto. A persistência é garantida via tarefas agendadas, e os atalhos do NetBird são removidos da área de trabalho, dificultando a detecção.

A campanha tem utilizado outras URLs de redirecionamento ativas há quase um ano, indicando uma possível operação prolongada. O caso destaca a crescente utilização de ferramentas legítimas, como ConnectWise ScreenConnect, Atera, Splashtop, FleetDeck e LogMeIn Resolve, para operações maliciosas de difícil detecção. “Este não é um golpe comum de phishing. É direcionado, silencioso e bem elaborado, com múltiplas camadas de evasão e engenharia social”, afirmou Srini Seethapathy, pesquisador da Trellix.

Além disso, a campanha ocorre em meio a um aumento generalizado em ataques que abusam de plataformas conhecidas para hospedar ou disfarçar links maliciosos. Casos recentes envolvem o uso do Google Apps Script, Notion, e provedores de e-mail como o japonês nifty[.]com. Há também registros de técnicas mais avançadas, como o uso de falhas antigas no Microsoft Office (CVE-2017-11882), e phishing de autorização OAuth, consentimento de dispositivos e Ataques Intermediários com MFA (AiTM).

A Trustwave também identificou a relação operacional entre os kits de phishing Tycoon 2FA e DadSec (Storm-1575), sugerindo uma infraestrutura coordenada. Já o novo kit chinês Haozi se destaca por seu modelo plug-and-play baseado em assinaturas e suporte via Telegram, democratizando o acesso a campanhas de phishing mesmo para invasores com pouca experiência técnica. A Netcraft alerta que esse modelo PhaaS (phishing como serviço) opera como um verdadeiro SaaS criminoso, com suporte, atualizações e publicidade para serviços paralelos.

Diante da crescente complexidade dos ataques, a Microsoft reforça que, embora ferramentas automatizadas evoluam, o fator humano ainda é o elo mais vulnerável. Treinamentos regulares sobre técnicas de engenharia social continuam sendo fundamentais na linha de defesa contra campanhas como essa.

Via - THN