Luna Moth Phishing Attack
O FBI (Federal Bureau of Investigation) dos EUA emitiu um alerta sobre ataques de engenharia social lançados por um grupo chamado Luna Moth. Esse grupo criminoso de extorsão tem como alvo escritórios de advocacia nos últimos dois anos, usando uma combinação de e-mails de phishing e engenharia social por telefone para roubar dados confidenciais e exigir pagamento.
Índice
Como Eles Operam: O Manual de Phishing de Retorno de Chamada
O Luna Moth, também conhecido como Chatty Spider, Silent Ransom Group (SRG), Storm-0252 e UNC3753, está ativo desde pelo menos 2022. Ele se baseia principalmente em uma tática chamada phishing de retorno de chamada ou entrega de ataque orientado por telefone (TOAD). Seus e-mails de phishing, aparentemente inofensivos e que giram em torno de faturas e assinaturas, induzem os destinatários a ligar para um número de telefone para "cancelar" um pagamento ou assinatura.
Durante essas ligações, os invasores orientam a vítima a instalar um programa de acesso remoto, obtendo acesso não autorizado aos seus sistemas. Com o controle desses dispositivos, os invasores coletam informações confidenciais e dão prosseguimento às demandas de extorsão para impedir que os dados sejam vazados ou vendidos a outros criminosos cibernéticos.
Do BazarCall à Representação de TI
Esta é a mesma equipe por trás de campanhas anteriores do BazarCall , que disseminou ransomwares como o Conti . Desde o fechamento do Conti, a Luna Moth intensificou seus esforços. Notavelmente, a partir de março de 2025, eles evoluíram sua estratégia, ligando diretamente para os indivíduos alvos, se passando por funcionários do departamento de TI. Essa abordagem manipula os funcionários para que participem de uma sessão de acesso remoto, muitas vezes sob o pretexto de realizar manutenção noturna.
Ferramentas do Ofício: Misturando-se com um Software Legítimo
Uma vez concedido o acesso, o Luna Moth aumenta os privilégios e usa ferramentas legítimas para exfiltrar dados:
- Rclone
- WinSCP
- Assistência Zoho
- Sincronização
- AnyDesk
- Splashtop
- Átera
Por se tratarem de ferramentas genuínas de gerenciamento de sistemas e acesso remoto, muitas vezes escapam à detecção por ferramentas de segurança. Se o dispositivo comprometido não tiver privilégios de administrador, o WinSCP portátil é usado para obter os dados roubados. Apesar de ser uma tática recente, ela se mostrou notavelmente eficaz, levando a vários comprometimentos bem-sucedidos.
Sinais de Problema: Indicadores de um Ataque do Luna Moth
Os profissionais de segurança cibernética devem ficar atentos a certos sinais de alerta:
- E-mails ou mensagens de voz inesperados de um grupo não identificado alegando roubo de dados.
- E-mails sobre renovações de assinatura que exigem uma ligação telefônica para evitar cobranças.
- Chamadas telefônicas não solicitadas de supostos funcionários de TI solicitando acesso remoto ao seu dispositivo.
- Conexões suspeitas feitas via WinSCP ou Rclone para endereços IP externos.
Ataques em Alta Velocidade e Falsificação de Helpdesk
Pesquisas mostram que as campanhas de phishing de retorno de chamada "de alta velocidade" do Luna Moth se concentram nos setores jurídico e financeiro dos EUA. Eles usam plataformas como o Reamaze Helpdesk e outros softwares de desktop remoto. Somente em março de 2025, o Luna Moth registrou pelo menos 37 domínios na GoDaddy. A maioria desses domínios era direcionada a helpdesks de TI e portais de suporte de organizações.
Esses domínios com tema de helpdesk geralmente começam com o nome da empresa visada. Os invasores contam com um pequeno número de registradores e provedores de servidores de nomes, sendo domaincontrol.com o mais comum.
Fique Alerta!
As campanhas da Luna Moth destacam a necessidade crítica de vigilância. Ao combinar ferramentas fundamentais com engenharia social e falsificação de domínio, elas contornam muitas defesas e colocam dados confidenciais em risco. Reconhecer suas táticas é o primeiro passo para se manter protegido.
