Esquema de Phishing "Venom Spider" mira recrutadores
Um novo golpe chamado "Venom Spider" está tentando enganar gerentes de contratação (recrutadores) usando e-mails falsos. O objetivo é fazer com que esses profissionais cliquem em links maliciosos.
Esquema de Phishing "Venom Spider"
O Venom Spider é um grupo de cibercriminosos motivado por ganhos financeiros, conhecido por atacar empresas usando campanhas de phishing sofisticadas. Recentemente, eles passaram a mirar departamentos de Recursos Humanos (RH) e recrutadores, aproveitando o aumento das contratações online para espalhar o malware More_eggs.
Como o ataque acontece
O ataque começa com um e-mail direcionado (spear phishing) enviado a um recrutador ou gerente de RH. O e-mail parece ser de um candidato a uma vaga e contém um link para baixar um currículo. Ao clicar no link, a vítima é levada a um site controlado pelos criminosos, que exibe um CAPTCHA para dar aparência de legitimidade e dificultar a detecção por ferramentas automáticas de segurança.
Após passar pelo CAPTCHA, o recrutador baixa um arquivo ZIP, supostamente contendo o currículo do candidato. Dentro do ZIP, há dois arquivos: uma imagem (usada como distração) e um atalho do Windows (.lnk), que é o verdadeiro vetor do ataque. Cada vez que alguém baixa o arquivo, um novo atalho malicioso é criado, com código e tamanho diferentes, dificultando a detecção por antivírus tradicionais.
Cadeia de Infecção Técnica
Ao abrir o atalho .lnk, o sistema executa um comando que utiliza um recurso legítimo do Windows (ie4uinit.exe) para rodar um script malicioso escondido em um arquivo .inf. Esse script baixa e executa um código JavaScript altamente ofuscado, que inicia a instalação do malware More_eggs.
O More_eggs utiliza técnicas avançadas para evitar ser detectado, como:
Polimorfismo: Cada vítima recebe um arquivo diferente, tornando a detecção mais difícil.
Criptografia em camadas: O código malicioso é criptografado em duas etapas, usando chaves específicas para cada computador infectado, o que impede que ferramentas automáticas analisem facilmente o malware.
Uso de programas legítimos: O malware utiliza programas do próprio Windows para executar seus códigos (tática conhecida como "living-off-the-land"), reduzindo a chance de ser identificado como uma ameaça.
Além disso, enquanto o malware é instalado, o WordPad é aberto para distrair o usuário, enquanto o acesso remoto ao computador é estabelecido em segundo plano.
Objetivos e Impactos
O principal objetivo do Venom Spider é roubar credenciais e informações confidenciais das empresas, como logins e dados financeiros. O More_eggs permite ao atacante:
Manter acesso remoto ao computador da vítima
Executar comandos
Roubar dados e credenciais
Instalar outros malwares
O grupo já atacou setores como varejo, entretenimento, farmácias, contabilidade, advocacia, energia e alimentação. Agora, ao focar em RH, praticamente qualquer empresa pode ser alvo, já que todas precisam contratar funcionários e, por isso, abrem anexos e links de fontes desconhecidas.
Infraestrutura e Evasão
Os criminosos usam infraestrutura na nuvem (Amazon, GoDaddy) e domínios registrados de forma anônima, com múltiplos subdomínios para dificultar o rastreamento. Eles também usam URLs complexas e redirecionamentos para evitar detecção por ferramentas de segurança.
Por que o ataque é eficaz?
Recrutadores e RHs precisam abrir anexos de desconhecidos como parte do trabalho
O volume de currículos recebidos é alto, aumentando a chance de descuido
O uso de CAPTCHA e arquivos personalizados dificulta a detecção automática
Técnicas avançadas de evasão tornam o malware difícil de analisar e bloquear.
Como se proteger
Desconfie de currículos enviados por links externos ou arquivos ZIP
Não abra atalhos (.lnk) recebidos por e-mail
Use soluções de segurança que detectem comportamentos suspeitos, não apenas arquivos conhecidos
Treine equipes de RH para identificar sinais de phishing
Mantenha sistemas e antivírus sempre atualizados
O Venom Spider representa uma ameaça sofisticada e adaptável, explorando processos rotineiros de empresas para invadir sistemas e roubar informações valiosas.
Fique por dentro das principais novidades sobre cibersegurança e aprenda dicas práticas para proteger seus dados e sua empresa! Inscreva-se agora na nossa newsletter e receba, diretamente no seu e-mail, alertas sobre novas ameaças, orientações de especialistas e orientações exclusivas para manter você e seu time sempre um passo à frente dos cibercriminosos.