O governo do Reino Unido, por meio do Centro Nacional de Segurança Cibernética (NCSC), divulgou um alerta urgente sobre um novo e sofisticado tipo de malware capaz de sequestrar contas do Outlook e extrair informações sensíveis de suas vítimas de forma furtiva. O programa malicioso foi atribuído ao notório grupo de ciberespionagem APT28, também conhecido como Fancy Bear, amplamente vinculado a operações avançadas de espionagem digital com motivações geopolíticas.
A ameaça foi originalmente identificada em 2023 por especialistas da Microsoft em parceria com a equipe da empresa de segurança cibernética NCC Group. O malware se destaca por sua capacidade de atuar diretamente no processo do cliente Outlook, onde injeta janelas falsas de login. Essas janelas são visualmente idênticas às legítimas, com o objetivo de enganar o usuário e capturar credenciais de acesso e tokens de autenticação.
Uma vez que os cibercriminosos obtêm essas informações, ganham acesso total a serviços integrados à conta Microsoft, como Exchange Online, SharePoint e OneDrive, ampliando significativamente o impacto do ataque. Essa técnica permite que os invasores extraiam e manipulem dados corporativos ou pessoais armazenados nesses serviços, colocando em risco a privacidade de usuários e a integridade de redes inteiras.
Segundo o relatório do NCSC, o malware foi desenvolvido com níveis elevados de sofisticação e discrição, com o objetivo de se manter invisível tanto para o usuário quanto para soluções convencionais de segurança. Ele minimiza sua presença no disco rígido, armazena informações capturadas em registros do sistema disfarçados como entradas legítimas relacionadas à biblioteca de autenticação da Microsoft e se comunica apenas com servidores oficiais da empresa, o que dificulta a detecção por firewalls e antivírus.
Um dos aspectos mais preocupantes da operação do malware é o modo como envia os dados roubados: os registros capturados são encaminhados por e-mail diretamente ao atacante, utilizando técnicas que impedem que essas mensagens apareçam na pasta “Itens enviados” do Outlook. Com isso, o usuário não tem nenhum indício de que suas informações foram exfiltradas.
A análise do código malicioso revelou que ele inclui partes da biblioteca oficial da Microsoft, o que reforça a sua camuflagem. Curiosamente, algumas dessas partes são apenas replicadas, sem uso efetivo no funcionamento do malware, sugerindo um esforço deliberado para se parecer com um módulo legítimo da aplicação.
Até o momento, o NCSC não divulgou detalhes sobre os vetores de infecção usados para distribuir o malware, mas advertiu que sua habilidade de se disfarçar e permanecer ativo por longos períodos torna a ameaça extremamente perigosa para usuários corporativos e domésticos. Há indícios de que campanhas direcionadas tenham como alvo governos, jornalistas, executivos e entidades estratégicas.
Recomendações de segurança
Diante do potencial destrutivo do malware, o NCSC recomenda que empresas e usuários finais adotem medidas de endurecimento de autenticação, como:
-
Ativar autenticação multifator (MFA) em todas as contas Microsoft;
-
Monitorar atividades incomuns no Outlook e nos serviços integrados;
-
Atualizar e revisar políticas de acesso, especialmente em ambientes corporativos;
-
Utilizar soluções de detecção comportamental que identifiquem atividades atípicas de login e acesso;
-
Verificar regularmente registros de autenticação e sessões em painéis de administração.
Este novo episódio destaca a crescente sofisticação dos grupos de espionagem digital e a importância de manter uma postura de segurança proativa e vigilante. Organizações devem investir continuamente em treinamento de usuários, avaliação de risco e ferramentas de resposta a incidentes, a fim de mitigar ameaças como essa, que exploram falhas humanas e tecnológicas para operar de forma silenciosa e devastadora.
O artigo "Alerta para malware que sequestra contas do Outlook" foi escrito pela Redação no site Ciso Advisor.
Disponível em: https://www.cisoadvisor.com.br/alerta-para-malware-que-sequestra-contas-do-outlook/
