Ataques do Termite ransomware têm relação com invasões do ClickFix CastleRAT

Resumo Jornalístico – Cibersegurança

Pesquisadores da MalBeacon identificaram que o grupo de ransomware Velvet Tempest, também conhecido como DEV-0504, está utilizando a técnica ClickFix aliada a utilitários legítimos do Windows para implantar o malware DonutLoader e o backdoor CastleRAT. O ataque foi monitorado em um ambiente simulado de uma organização com mais de 3.000 endpoints, revelando uma cadeia de infecção sofisticada e altamente automatizada.

A campanha observada teve início com malvertising, levando as vítimas a executar comandos ofuscados no Windows, acionando cadeias aninhadas de cmd.exe e utilizando finger.exe para baixar os primeiros carregadores de malware. Em etapas posteriores, scripts PowerShell foram empregados para baixar cargas adicionais, compilar componentes .NET via csc.exe e instalar módulos Python para garantir persistência no sistema.

O diferencial técnico do ataque está no uso combinado de ferramentas nativas do sistema operacional e técnicas de engenharia social, dificultando a detecção por soluções tradicionais de segurança. Além disso, a operação demonstrou capacidade de reconhecimento avançado do ambiente, coleta de credenciais e implantação de múltiplos tipos de malware, incluindo trojans de acesso remoto e ladrões de informações.

O relatório destaca que, apesar do histórico do Velvet Tempest em ataques de dupla extorsão, nesta intrusão específica não houve implantação do ransomware Termite. A adoção crescente da técnica ClickFix por diversos grupos reforça a necessidade de monitoramento contínuo e atualização das estratégias de defesa cibernética, especialmente diante da sofisticação crescente dos vetores de ataque.