São Paulo — InkDesign News — Um ataque cibernético altamente coordenado, codificado como “PhantomCaptcha”, comprometeu importantes organizações humanitárias e governamentais envolvidas nas operações de ajuda à Ucrânia em 8 de outubro de 2025. O ataque envolveu medidas sofisticadas para contornar detecções e explorou vulnerabilidades específicas na comunicação por e-mail.
Incidente e vulnerabilidade
O ataque começou com e-mails aparentando ser da Presidência da Ucrânia, contendo um PDF malicioso. A abertura deste documento levava os usuários a um site, “zoomconference.app”, que parecia legítimo, mas apresentava uma falsa página de captcha. Este site, hospedado em um servidor russo na Finlândia, utilizava uma técnica conhecida como “Paste and Run”. Após copiar um “token” e colá-lo no Windows Run, os usuários podiam executar um comando oculto, permitindo a instalação de um Trojan de Acesso Remoto (RAT) baseado em WebSocket. Essa abordagem é crítica, pois pode contornar softwares de segurança comuns.
“A preparação e a instalação precisa desse ataque indicam um nível elevado de planejamento operacional por parte dos atacantes.”
(“The attackers’ planning was quite meticulous, showing a high level of operational planning.”)— Pesquisadores da SentinelLABS
Impacto e resposta
Organizações como a Cruz Vermelha Internacional, UNICEF e o Conselho Norueguês para Refugiados foram diretamente afetadas. Além do comprometimento de sistemas, houve uma possível exfiltração de dados sensíveis. O ataque foi notado apenas por 24 horas, com os sites visados rapidamente desativados, mas os servidores de comando e controle permaneceram ativos. Essas táticas de ataque e evasão refletem um aprofundado entendimento das vulnerabilidades específicas dos sistemas envolvidos.
Mitigações recomendadas
Em resposta ao ataque, recomenda-se que os funcionários tratem mensagens inesperadas como potenciais ameaças. Nunca devem colar tokens desconhecidos na caixa de execução. Medidas adicionais incluem:
- Relatar incidentes às autoridades competentes, como o CERT nacional;
- Rotacionar credenciais expostas, realizando varreduras e verificações forenses completas;
- Implementar controles de segurança, como autenticação em múltiplos fatores e permissões limitadas de administrador.
“Desafios como este mostram que as organizações de socorro são alvos diretos e que campanhas similarmente bem estruturadas estão em crescimento.”
(“Such highly targeted, short-lived campaigns show that cyber operations against relief groups are persistent and constantly growing.”)— Pesquisadores da SentinelLABS
A rápida evolução dos métodos de ataque e a complexidade dos mesmos representam riscos contínuos. É essencial continuar avaliando e fortalecendo as medidas de segurança para proteger informações sensíveis contra futuras operações maliciosas.
Fonte: (Hack Read – Segurança Cibernética)
