Skip to main content
HashnodeConeds NewsConeds News

Command Palette

Search for a command to run...

Ataques de Credenciais e Phishing Evoluídos: Protegendo sua Empresa em Setembro de 2025

Published
24 min read
M
Matheus Banhos

Ataques de Credenciais e Phishing Evoluídos: Protegendo sua Empresa em Setembro de 2025

Meta descrição: Analisamos os ataques APT29 e VoidProxy de Setembro de 2025, focando em roubo de credenciais, phishing avançado e o impacto no Brasil. Prepare-se com nossas recomendações essenciais.

O cenário da cibersegurança em setembro de 2025 continua a exigir vigilância e adaptação constantes. Enquanto as manchetes frequentemente destacam grandes violações de dados e ataques de ransomware, a realidade diária para CISOs e gestores de TI reside na batalha contínua contra táticas de comprometimento de credenciais e engenharia social, cada vez mais sofisticadas. Nos últimos dias, observamos a emergência e a evolução de campanhas que exploram a confiança digital e a complexidade dos ecossistemas modernos, visando especificamente plataformas amplamente utilizadas como Microsoft 365 e Google Accounts. A sofisticação desses ataques, que vão desde operações de "watering hole" orquestradas por grupos APT até serviços de Phishing-as-a-Service (PhaaS) com técnicas de "adversary-in-the-middle", sublinha a necessidade crítica de uma defesa multicamadas e de uma cultura de segurança robusta. A Coneds, como líder em educação em cibersegurança, traz uma análise aprofundada para ajudar sua organização a não apenas compreender essas ameaças, mas também a implementar defesas proativas e eficazes no contexto brasileiro.

⚡ Resumo Executivo

  • Campanha APT29: Grupo estatal russo (Cozy Bear/Midnight Blizzard) lança nova onda de roubo de credenciais contra Microsoft 365/Google via "watering hole" e autenticação de dispositivo, ativa desde 2 de setembro de 2025.
  • VoidProxy PhaaS: Novo serviço de Phishing-as-a-Service (PhaaS) usando técnicas de "adversary-in-the-middle" para roubar credenciais e tokens MFA, detectado em larga escala desde 12 de setembro de 2025.
  • Ransomware Persistente: Ataques de ransomware continuam em alta, com um aumento de 73% no primeiro trimestre de 2025 e 17% nos custos de sinistros, frequentemente precedidos por engenharia social e roubo de credenciais.
  • Foco em Engenharia Social: A raiz da maioria dos incidentes ainda é a manipulação humana, que permite o acesso inicial e a escalada de privilégios.

Campanha APT29: A Sofisticação do Roubo de Credenciais via "Watering Hole"

O grupo de ameaças avançadas persistentes (APT) associado à inteligência russa, conhecido como APT29 (também rastreado como Midnight Blizzard, Nobelium e Cozy Bear), lançou uma nova e sofisticada campanha de roubo de credenciais que tem chamado a atenção de especialistas em cibersegurança em setembro de 2025. Esta operação, detalhada pela inteligência de ameaças da Amazon em 2 de setembro de 2025, mira organizações governamentais, militares, ONGs e empresas de tecnologia na América do Norte e Europa, mas suas táticas são replicáveis globalmente e de alto risco para o Brasil.

A campanha utiliza uma técnica conhecida como "watering hole", onde sites legítimos são comprometidos e injetados com código malicioso. Esse código, muitas vezes um JavaScript ofuscado com codificação base64, redireciona de forma seletiva (apenas 10% dos visitantes, para evitar detecção) para páginas falsas de verificação de segurança, que mimetizam as páginas de autenticação do Cloudflare. O objetivo final é enganar os usuários para que insiram suas credenciais e, de forma ainda mais insidiosa, autorizem o acesso dos atacantes às suas contas Microsoft 365 e Google.

A particularidade e periculosidade desta campanha residem na exploração do fluxo de autenticação de dispositivo da Microsoft. Em vez de simplesmente roubar senhas, os atacantes manipulam o processo para que o usuário, sem saber, autorize um novo dispositivo (controlado pelo APT29) a acessar sua conta. Isso permite que os adversários ignorem até mesmo a autenticação multifator (MFA) tradicional, obtendo tokens de sessão válidos e persistência no ambiente da vítima.

Historicamente, o APT29 é conhecido por sua paciência e uso de táticas "living-off-the-land", misturando-se ao tráfego legítimo e utilizando ferramentas de sistema para permanecer indetectado por longos períodos. A campanha atual demonstra uma evolução contínua em suas táticas, focando em métodos menos comuns, mas extremamente eficazes, de comprometimento de contas. A capacidade de contornar a MFA é um alerta vermelho para todas as organizações que dependem dessas tecnologias como sua principal linha de defesa de identidade. A exploração de plataformas de nuvem confiáveis, como instâncias do Amazon EC2 (que foram rapidamente mitigadas pela Amazon), para hospedar sua infraestrutura maliciosa também destaca a complexidade e a adaptabilidade desses adversários.

A implicação para as empresas é clara: a segurança de credenciais vai além de senhas fortes e MFA básica. É preciso entender os fluxos de autenticação, monitorar ativamente acessos de novos dispositivos e estar ciente de comportamentos anômalos em todo o ecossistema de identidade e acesso. A simples navegação em um site comprometido pode ser o primeiro passo para uma violação de dados catastrófica.

Operação VoidProxy: A Ascensão do PhaaS com "Adversary-in-the-Middle"

Concomitantemente à atividade do APT29, o mês de setembro de 2025 também viu o ressurgimento e a ampliação da operação de Phishing-as-a-Service (PhaaS) conhecida como VoidProxy. Relatórios divulgados pela SC Media em 12 e 15 de setembro de 2025 alertam sobre esta plataforma que está sendo utilizada por múltiplos grupos cibercriminosos para alvejar contas de Microsoft 365 e Google em diversos setores globalmente.

O VoidProxy diferencia-se de campanhas de phishing tradicionais por empregar sofisticadas técnicas de "adversary-in-the-middle" (AiTM), também conhecidas como ataques de proxy reverso. Nesses ataques, o atacante age como um proxy entre a vítima e o serviço legítimo (Microsoft 365 ou Google). Quando a vítima tenta fazer login, todas as suas interações – incluindo credenciais, códigos de MFA e até mesmo tokens de sessão – são interceptadas pelo servidor do atacante e, em seguida, retransmitidas para o serviço legítimo. O login é bem-sucedido para a vítima, que não percebe a interceptação, enquanto o atacante rouba as informações de autenticação em tempo real.

Essa abordagem é particularmente eficaz porque ela derrota a maioria das formas de MFA baseadas em OTP (One-Time Password) via SMS, e-mail ou aplicativos autenticadores que não utilizam um canal de comunicação seguro para atestar a localização do usuário ou a integridade da sessão. Ao roubar os tokens de sessão válidos, os atacantes podem manter o acesso à conta mesmo após a expiração dos códigos de MFA ou a alteração de senhas, sem precisar reautenticar.

A facilidade de uso do VoidProxy como um serviço comercial de PhaaS significa que grupos cibercriminosos com menor capacidade técnica podem lançar campanhas de phishing altamente eficazes. Isso democratiza o acesso a ferramentas de ataque avançadas, aumentando a frequência e a sofisticação dos incidentes para empresas de todos os portes. Desde janeiro, a plataforma VoidProxy tem sido rastreada por pesquisadores, mas seu uso generalizado e os novos relatórios de setembro de 2025 indicam uma escalada na sua adoção e no impacto potencial.

Para as organizações, a proliferação de serviços de PhaaS como o VoidProxy exige uma reavaliação das estratégias de autenticação. A dependência exclusiva de MFA tradicional pode não ser suficiente contra esses ataques AiTM. A conscientização sobre os perigos do phishing avançado e a implementação de tecnologias que podem detectar a manipulação de sessões ou exigir formas mais robustas de MFA (como chaves de segurança físicas FIDO2) tornam-se imperativas. A capacidade de um atacante de ter acesso persistente a e-mails e documentos em nuvem pode levar a ataques de Business Email Compromise (BEC) devastadores e vazamento de dados.

🇧🇷 Impacto no Cenário Brasileiro

O Brasil, com seu ambiente digital em constante expansão e a crescente digitalização de serviços governamentais, financeiros e empresariais, é um alvo extremamente atraente para as campanhas de roubo de credenciais e phishing avançado descritas. A ampla adoção de plataformas como Microsoft 365 e Google Workspace por empresas de todos os portes no país torna-as particularmente vulneráveis a ataques como os do APT29 e VoidProxy.

  • Setores mais afetados: O setor financeiro, com regulamentações rigorosas do BACEN e a sensibilidade dos dados, é um alvo primordial para o roubo de credenciais que pode levar a fraudes financeiras. Empresas de tecnologia, infraestrutura crítica e o próprio governo, que lidam com dados estratégicos e informações confidenciais, também estão sob alto risco devido à sua dependência de sistemas de identidade em nuvem. No varejo, o comprometimento de credenciais pode levar a acessos a sistemas de e-commerce e dados de clientes, resultando em perdas financeiras e danos à reputação.
  • Dados locais e LGPD: A Lei Geral de Proteção de Dados (LGPD) brasileira exige que as empresas protejam os dados pessoais e sensíveis dos cidadãos. Ataques de roubo de credenciais e phishing resultam frequentemente em violações de dados, o que acarreta multas pesadas e danos reputacionais sob a LGPD. A interceptação de tokens MFA e de sessão, como visto no VoidProxy, permite que os atacantes acessem e exfiltrem dados sem serem detectados por defesas tradicionais. Isso eleva o nível de preocupação para CISOs brasileiros, que precisam garantir a conformidade e a segurança dos dados.
  • Contexto regulatório (LGPD, PCIDSS, BACEN): As regulamentações brasileiras, como a LGPD, o PCIDSS (para empresas que processam pagamentos) e as normas do BACEN para o setor financeiro, enfatizam a necessidade de controles de acesso robustos e a proteção de dados. Incidentes decorrentes de roubo de credenciais e phishing AiTM podem facilmente levar ao não cumprimento dessas regulamentações. As empresas precisam demonstrar que implementaram medidas de segurança adequadas para mitigar esses riscos, incluindo a conscientização dos funcionários e a adoção de tecnologias de autenticação mais resilientes. A falta de um CVE específico para essas campanhas não diminui o risco, mas sim reforça a necessidade de focar em técnicas de ataque e na postura de segurança geral, não apenas em vulnerabilidades de software.

A engenharia social continua sendo a pedra angular de muitos desses ataques, explorando o fator humano. A falta de programas contínuos e eficazes de treinamento de conscientização sobre segurança cibernética deixa as empresas brasileiras ainda mais expostas. A complexidade dos ataques, somada à escassez de profissionais qualificados em cibersegurança no Brasil, cria um ambiente propício para que essas ameaças avancem.

🔒 Recomendações Práticas da Coneds

Para proteger sua organização contra ataques de roubo de credenciais e phishing avançado, a Coneds recomenda as seguintes ações práticas:

  1. Ação Imediata: Revisão e Fortalecimento da MFA: Avalie a eficácia da sua Autenticação Multifator (MFA). Priorize MFA "phishing-resistant" (resistente a phishing), como chaves de segurança físicas baseadas em FIDO2 ou certificados digitais, especialmente para contas privilegiadas e acesso a sistemas críticos. Desabilite métodos de autenticação de dispositivo baseados em código se não forem estritamente necessários, conforme recomendado pela Amazon para mitigar ataques do APT29.
  2. Curto Prazo (1-4 semanas): Implementar Monitoramento Ativo de Identidade e Acesso: Utilize soluções de SIEM/SOAR para monitorar logs de autenticação e acesso de forma contínua. Configure alertas para atividades incomuns, como logins de novos dispositivos, acessos de localizações geográficas atípicas ou tentativas de login repetidas em curtos períodos. Adote princípios de Zero Trust, verificando cada solicitação de acesso independentemente da sua origem.
  3. Médio Prazo (1-3 meses): Treinamento Contínuo e Simulações de Phishing AiTM: Intensifique os programas de conscientização em segurança, com foco em engenharia social e ataques de phishing AiTM. Realize simulações de phishing AiTM regulares para educar os funcionários sobre as táticas mais recentes e testar sua capacidade de identificar e reportar tentativas de fraude. Invista em plataformas que ofereçam treinamentos interativos e personalizados.
  4. Estratégia Long-term: Governança de Credenciais e Gestão de Superfície de Ataque: Desenvolva uma estratégia abrangente de gestão de identidade e acesso (IAM) que inclua o ciclo de vida completo das credenciais, desde o provisionamento até a desativação. Mapeie e gerencie a superfície de ataque digital da sua organização, identificando e corrigindo vulnerabilidades em sistemas expostos à internet, especialmente em relação a serviços de terceiros e cadeia de suprimentos.
  5. Governança: Políticas de Segurança Claras e Robustas: Estabeleça e comunique políticas claras para o uso de credenciais, MFA e acesso a recursos sensíveis. Garanta que essas políticas estejam alinhadas com as regulamentações como LGPD, PCIDSS e normas do BACEN. Realize auditorias regulares para garantir a conformidade e identificar quaisquer desvios.
  6. Treinamento: Capacitação da Equipe de Segurança: Invista na capacitação contínua da sua equipe de segurança em técnicas avançadas de detecção e resposta a incidentes, com ênfase em análises forenses de ataques baseados em credenciais e phishing AiTM. Mantenha-os atualizados sobre as últimas táticas de grupos APT e cibercriminosos.

❓ Perguntas Frequentes

P: Qual a principal diferença entre um ataque de phishing tradicional e um ataque AiTM (Adversary-in-the-Middle) como o VoidProxy?

R: Em um phishing tradicional, o atacante tenta roubar suas credenciais diretamente por meio de uma página falsa de login. Em um ataque AiTM, como o VoidProxy, o atacante age como um proxy, intermediando a comunicação entre você e o site legítimo. Isso permite que ele intercepte não apenas suas credenciais, mas também códigos de MFA e tokens de sessão em tempo real, tornando-o mais difícil de detectar e mais eficaz contra certas formas de MFA.

P: Minha empresa usa MFA. Estamos seguros contra o APT29 e o VoidProxy?

R: Não necessariamente. Embora a MFA seja crucial, alguns métodos (como OTP via SMS) podem ser contornados por ataques AiTM. O APT29, por exemplo, explora fluxos de autenticação de dispositivo. Para maior segurança, utilize MFA resistente a phishing, como chaves de segurança FIDO2. Além disso, a engenharia social ainda pode levar ao comprometimento se os usuários forem enganados para autorizar ações maliciosas.

P: Como a LGPD se aplica a esses tipos de ataques e qual o risco para as empresas brasileiras?

R: A LGPD exige que as empresas protejam os dados pessoais contra acessos não autorizados e incidentes de segurança. Ataques de roubo de credenciais e phishing AiTM frequentemente resultam em violações de dados, o que pode levar a multas significativas e danos à reputação sob a LGPD. As empresas brasileiras devem demonstrar que implementaram medidas técnicas e organizacionais adequadas para prevenir e responder a esses incidentes, incluindo a conscientização dos funcionários e a adoção de tecnologias de segurança avançadas.

P: A Coneds oferece treinamentos específicos para combater essas ameaças avançadas?

R: Sim, a Coneds possui um portfólio robusto de treinamentos focados em Engenharia Social e Ataques de Phishing Avançado, bem como cursos sobre Defesa de Identidade e Acesso (IAM) e Resposta a Incidentes, que abordam as táticas e contramedidas necessárias para enfrentar ameaças como as do APT29 e VoidProxy. Nossos programas são desenhados para profissionais de TI, CISOs e gestores no contexto do mercado brasileiro.

Conclusão

Setembro de 2025 reforça a máxima de que a cibersegurança é uma corrida armamentista contínua. As campanhas do APT29 e a ascensão do PhaaS VoidProxy são lembretes vívidos da engenhosidade dos adversários e da necessidade urgente de as organizações elevarem suas defesas. O foco persistente em roubo de credenciais e a exploração da engenharia social sublinham que a tecnologia por si só não basta; a conscientização humana e a resiliência operacional são igualmente cruciais. Para as empresas brasileiras, a conformidade com a LGPD e outras regulamentações exige uma postura proativa e estratégias de segurança adaptadas a essas ameaças em evolução. A chave para a resiliência reside na combinação de MFA resistente a phishing, monitoramento contínuo de identidade e acesso, e, acima de tudo, um programa robusto de treinamento e conscientização para capacitar seus colaboradores a serem a primeira linha de defesa. Não espere que sua empresa se torne mais uma estatística.

📚 Aprenda mais: Conheça o treinamento "Defesa Avançada contra Engenharia Social e Phishing" da Coneds em www.coneds.com.br/treinamentos 🔗 Fontes:

Meta descrição: Analisamos os ataques APT29 e VoidProxy de Setembro de 2025, focando em roubo de credenciais, phishing avançado e o impacto no Brasil. Prepare-se com nossas recomendações essenciais.

O cenário da cibersegurança em setembro de 2025 continua a exigir vigilância e adaptação constantes. Enquanto as manchetes frequentemente destacam grandes violações de dados e ataques de ransomware, a realidade diária para CISOs e gestores de TI reside na batalha contínua contra táticas de comprometimento de credenciais e engenharia social, cada vez mais sofisticadas. Nos últimos dias, observamos a emergência e a evolução de campanhas que exploram a confiança digital e a complexidade dos ecossistemas modernos, visando especificamente plataformas amplamente utilizadas como Microsoft 365 e Google Accounts. A sofisticação desses ataques, que vão desde operações de "watering hole" orquestradas por grupos APT até serviços de Phishing-as-a-Service (PhaaS) com técnicas de "adversary-in-the-middle", sublinha a necessidade crítica de uma defesa multicamadas e de uma cultura de segurança robusta. A Coneds, como líder em educação em cibersegurança, traz uma análise aprofundada para ajudar sua organização a não apenas compreender essas ameaças, mas também a implementar defesas proativas e eficazes no contexto brasileiro.

⚡ Resumo Executivo

  • Campanha APT29 (Set. 2025): Grupo estatal russo (Cozy Bear/Midnight Blizzard) lança nova onda de roubo de credenciais contra Microsoft 365/Google via "watering hole" e autenticação de dispositivo.
  • VoidProxy PhaaS (Set. 2025): Novo serviço de Phishing-as-a-Service (PhaaS) usando técnicas de "adversary-in-the-middle" para roubar credenciais e tokens MFA, detectado em larga escala.
  • Ransomware Persistente: Ataques de ransomware continuam em alta (aumento de 73% no Q1/2025 e 17% nos custos de sinistros), frequentemente precedidos por engenharia social e roubo de credenciais.
  • Foco em Engenharia Social: A manipulação humana permanece a raiz da maioria dos incidentes, permitindo acesso inicial e escalada de privilégios em ataques sofisticados.

Campanha APT29: A Sofisticação do Roubo de Credenciais via "Watering Hole"

O grupo de ameaças avançadas persistentes (APT) associado à inteligência russa, conhecido como APT29 (também rastreado como Midnight Blizzard, Nobelium e Cozy Bear), lançou uma nova e sofisticada campanha de roubo de credenciais que tem chamado a atenção de especialistas em cibersegurança em setembro de 2025. Esta operação, detalhada pela inteligência de ameaças da Amazon em 2 de setembro de 2025, mira organizações governamentais, militares, ONGs e empresas de tecnologia na América do Norte e Europa, mas suas táticas são replicáveis globalmente e de alto risco para o Brasil.

A campanha utiliza uma técnica conhecida como "watering hole", onde sites legítimos são comprometidos e injetados com código malicioso. Esse código, muitas vezes um JavaScript ofuscado com codificação base64, redireciona de forma seletiva (apenas 10% dos visitantes, para evitar detecção) para páginas falsas de verificação de segurança, que mimetizam as páginas de autenticação do Cloudflare. O objetivo final é enganar os usuários para que insiram suas credenciais e, de forma ainda mais insidiosa, autorizem o acesso dos atacantes às suas contas Microsoft 365 e Google.

A particularidade e periculosidade desta campanha residem na exploração do fluxo de autenticação de dispositivo da Microsoft. Em vez de simplesmente roubar senhas, os atacantes manipulam o processo para que o usuário, sem saber, autorize um novo dispositivo (controlado pelo APT29) a acessar sua conta. Isso permite que os adversários ignorem até mesmo a autenticação multifator (MFA) tradicional, obtendo tokens de sessão válidos e persistência no ambiente da vítima.

Historicamente, o APT29 é conhecido por sua paciência e uso de táticas "living-off-the-land", misturando-se ao tráfego legítimo e utilizando ferramentas de sistema para permanecer indetectado por longos períodos. A campanha atual demonstra uma evolução contínua em suas táticas, focando em métodos menos comuns, mas extremamente eficazes, de comprometimento de contas. A capacidade de contornar a MFA é um alerta vermelho para todas as organizações que dependem dessas tecnologias como sua principal linha de defesa de identidade. A exploração de plataformas de nuvem confiáveis, como instâncias do Amazon EC2 (que foram rapidamente mitigadas pela Amazon), para hospedar sua infraestrutura maliciosa também destaca a complexidade e a adaptabilidade desses adversários.

A implicação para as empresas é clara: a segurança de credenciais vai além de senhas fortes e MFA básica. É preciso entender os fluxos de autenticação, monitorar ativamente acessos de novos dispositivos e estar ciente de comportamentos anômalos em todo o ecossistema de identidade e acesso. A simples navegação em um site comprometido pode ser o primeiro passo para uma violação de dados catastrófica.

Operação VoidProxy: A Ascensão do PhaaS com "Adversary-in-the-Middle"

Concomitantemente à atividade do APT29, o mês de setembro de 2025 também viu o ressurgimento e a ampliação da operação de Phishing-as-a-Service (PhaaS) conhecida como VoidProxy. Relatórios divulgados pela SC Media em 12 e 15 de setembro de 2025 alertam sobre esta plataforma que está sendo utilizada por múltiplos grupos cibercriminosos para alvejar contas de Microsoft 365 e Google em diversos setores globalmente.

O VoidProxy diferencia-se de campanhas de phishing tradicionais por empregar sofisticadas técnicas de "adversary-in-the-middle" (AiTM), também conhecidas como ataques de proxy reverso. Nesses ataques, o atacante age como um proxy entre a vítima e o serviço legítimo (Microsoft 365 ou Google). Quando a vítima tenta fazer login, todas as suas interações – incluindo credenciais, códigos de MFA e até mesmo tokens de sessão – são interceptadas pelo servidor do atacante e, em seguida, retransmitidas para o serviço legítimo. O login é bem-sucedido para a vítima, que não percebe a interceptação, enquanto o atacante rouba as informações de autenticação em tempo real.

Essa abordagem é particularmente eficaz porque ela derrota a maioria das formas de MFA baseadas em OTP (One-Time Password) via SMS, e-mail ou aplicativos autenticadores que não utilizam um canal de comunicação seguro para atestar a localização do usuário ou a integridade da sessão. Ao roubar os tokens de sessão válidos, os atacantes podem manter o acesso à conta mesmo após a expiração dos códigos de MFA ou a alteração de senhas, sem precisar reautenticar.

A facilidade de uso do VoidProxy como um serviço comercial de PhaaS significa que grupos cibercriminosos com menor capacidade técnica podem lançar campanhas de phishing altamente eficazes. Isso democratiza o acesso a ferramentas de ataque avançadas, aumentando a frequência e a sofisticação dos incidentes para empresas de todos os portes. Desde janeiro, a plataforma VoidProxy tem sido rastreada por pesquisadores, mas seu uso generalizado e os novos relatórios de setembro de 2025 indicam uma escalada na sua adoção e no impacto potencial.

Para as organizações, a proliferação de serviços de PhaaS como o VoidProxy exige uma reavaliação das estratégias de autenticação. A dependência exclusiva de MFA tradicional pode não ser suficiente contra esses ataques AiTM. A conscientização sobre os perigos do phishing avançado e a implementação de tecnologias que podem detectar a manipulação de sessões ou exigir formas mais robustas de MFA (como chaves de segurança físicas FIDO2) tornam-se imperativas. A capacidade de um atacante de ter acesso persistente a e-mails e documentos em nuvem pode levar a ataques de Business Email Compromise (BEC) devastadores e vazamento de dados.

🇧🇷 Impacto no Cenário Brasileiro

O Brasil, com seu ambiente digital em constante expansão e a crescente digitalização de serviços governamentais, financeiros e empresariais, é um alvo extremamente atraente para as campanhas de roubo de credenciais e phishing avançado descritas. A ampla adoção de plataformas como Microsoft 365 e Google Workspace por empresas de todos os portes no país torna-as particularmente vulneráveis a ataques como os do APT29 e VoidProxy.

  • Setores mais afetados: O setor financeiro, com regulamentações rigorosas do BACEN e a sensibilidade dos dados, é um alvo primordial para o roubo de credenciais que pode levar a fraudes financeiras. Empresas de tecnologia, infraestrutura crítica e o próprio governo, que lidam com dados estratégicos e informações confidenciais, também estão sob alto risco devido à sua dependência de sistemas de identidade em nuvem. No varejo, o comprometimento de credenciais pode levar a acessos a sistemas de e-commerce e dados de clientes, resultando em perdas financeiras e danos à reputação.
  • Dados locais e LGPD: A Lei Geral de Proteção de Dados (LGPD) brasileira exige que as empresas protejam os dados pessoais e sensíveis dos cidadãos. Ataques de roubo de credenciais e phishing resultam frequentemente em violações de dados, o que acarreta multas pesadas e danos reputacionais sob a LGPD. A interceptação de tokens MFA e de sessão, como visto no VoidProxy, permite que os atacantes acessem e exfiltrem dados sem serem detectados por defesas tradicionais. Isso eleva o nível de preocupação para CISOs brasileiros, que precisam garantir a conformidade e a segurança dos dados.
  • Contexto regulatório (LGPD, PCIDSS, BACEN): As regulamentações brasileiras, como a LGPD, o PCIDSS (para empresas que processam pagamentos) e as normas do BACEN para o setor financeiro, enfatizam a necessidade de controles de acesso robustos e a proteção de dados. Incidentes decorrentes de roubo de credenciais e phishing AiTM podem facilmente levar ao não cumprimento dessas regulamentações. As empresas precisam demonstrar que implementaram medidas de segurança adequadas para mitigar esses riscos, incluindo a conscientização dos funcionários e a adoção de tecnologias de autenticação mais resilientes. A falta de um CVE específico para essas campanhas não diminui o risco, mas sim reforça a necessidade de focar em técnicas de ataque e na postura de segurança geral, não apenas em vulnerabilidades de software.

A engenharia social continua sendo a pedra angular de muitos desses ataques, explorando o fator humano. A falta de programas contínuos e eficazes de treinamento de conscientização sobre segurança cibernética deixa as empresas brasileiras ainda mais expostas. A complexidade dos ataques, somada à escassez de profissionais qualificados em cibersegurança no Brasil, cria um ambiente propício para que essas ameaças avancem.

🔒 Recomendações Práticas da Coneds

  1. Ação Imediata: Revisão e Fortalecimento da MFA: Avalie a eficácia da sua Autenticação Multifator (MFA). Priorize MFA "phishing-resistant" (resistente a phishing), como chaves de segurança físicas baseadas em FIDO2 ou certificados digitais, especialmente para contas privilegiadas e acesso a sistemas críticos. Desabilite métodos de autenticação de dispositivo baseados em código se não forem estritamente necessários, conforme recomendado pela Amazon para mitigar ataques do APT29.
  2. Curto Prazo (1-4 semanas): Implementar Monitoramento Ativo de Identidade e Acesso: Utilize soluções de SIEM/SOAR para monitorar logs de autenticação e acesso de forma contínua. Configure alertas para atividades incomuns, como logins de novos dispositivos, acessos de localizações geográficas atípicas ou tentativas de login repetidas em curtos períodos. Adote princípios de Zero Trust, verificando cada solicitação de acesso independentemente da sua origem.
  3. Médio Prazo (1-3 meses): Treinamento Contínuo e Simulações de Phishing AiTM: Intensifique os programas de conscientização em segurança, com foco em engenharia social e ataques de phishing AiTM. Realize simulações de phishing AiTM regulares para educar os funcionários sobre as táticas mais recentes e testar sua capacidade de identificar e reportar tentativas de fraude. Invista em plataformas que ofereçam treinamentos interativos e personalizados.
  4. Estratégia Long-term: Governança de Credenciais e Gestão de Superfície de Ataque: Desenvolva uma estratégia abrangente de gestão de identidade e acesso (IAM) que inclua o ciclo de vida completo das credenciais, desde o provisionamento até a desativação. Mapeie e gerencie a superfície de ataque digital da sua organização, identificando e corrigindo vulnerabilidades em sistemas expostos à internet, especialmente em relação a serviços de terceiros e cadeia de suprimentos.
  5. Governança: Políticas de Segurança Claras e Robustas: Estabeleça e comunique políticas claras para o uso de credenciais, MFA e acesso a recursos sensíveis. Garanta que essas políticas estejam alinhadas com as regulamentações como LGPD, PCIDSS e normas do BACEN. Realize auditorias regulares para garantir a conformidade e identificar quaisquer desvios.
  6. Treinamento: Capacitação da Equipe de Segurança: Invista na capacitação contínua da sua equipe de segurança em técnicas avançadas de detecção e resposta a incidentes, com ênfase em análises forenses de ataques baseados em credenciais e phishing AiTM. Mantenha-os atualizados sobre as últimas táticas de grupos APT e cibercriminosos.
  7. Integração de Inteligência de Ameaças: Assine serviços de inteligência de ameaças relevantes para o Brasil e globalmente, para receber alertas sobre novas campanhas de APTs e PhaaS, permitindo respostas rápidas e adaptativas.

❓ Perguntas Frequentes

P: Qual a principal diferença entre um ataque de phishing tradicional e um ataque AiTM (Adversary-in-the-Middle) como o VoidProxy?

R: Em um phishing tradicional, o atacante tenta roubar suas credenciais diretamente por meio de uma página falsa de login. Em um ataque AiTM, como o VoidProxy, o atacante age como um proxy, intermediando a comunicação entre você e o site legítimo. Isso permite que ele intercepte não apenas suas credenciais, mas também códigos de MFA e tokens de sessão em tempo real, tornando-o mais difícil de detectar e mais eficaz contra certas formas de MFA.

P: Minha empresa usa MFA. Estamos seguros contra o APT29 e o VoidProxy?

R: Não necessariamente. Embora a MFA seja crucial, alguns métodos (como OTP via SMS) podem ser contornados por ataques AiTM. O APT29, por exemplo, explora fluxos de autenticação de dispositivo. Para maior segurança, utilize MFA resistente a phishing, como chaves de segurança FIDO2. Além disso, a engenharia social ainda pode levar ao comprometimento se os usuários forem enganados para autorizar ações maliciosas.

P: Como a LGPD se aplica a esses tipos de ataques e qual o risco para as empresas brasileiras?

R: A LGPD exige que as empresas protejam os dados pessoais contra acessos não autorizados e incidentes de segurança. Ataques de roubo de credenciais e phishing AiTM frequentemente resultam em violações de dados, o que pode levar a multas significativas e danos à reputação sob a LGPD. As empresas brasileiras devem demonstrar que implementaram medidas técnicas e organizacionais adequadas para prevenir e responder a esses incidentes, incluindo a conscientização dos funcionários e a adoção de tecnologias de segurança avançadas.

P: A Coneds oferece treinamentos específicos para combater essas ameaças avançadas?

R: Sim, a Coneds possui um portfólio robusto de treinamentos focados em Engenharia Social e Ataques de Phishing Avançado, bem como cursos sobre Defesa de Identidade e Acesso (IAM) e Resposta a Incidentes, que abordam as táticas e contramedidas necessárias para enfrentar ameaças como as do APT29 e VoidProxy. Nossos programas são desenhados para profissionais de TI, CISOs e gestores no contexto do mercado brasileiro.

Conclusão

Setembro de 2025 reforça a máxima de que a cibersegurança é uma corrida armamentista contínua. As campanhas do APT29 e a ascensão do PhaaS VoidProxy são lembretes vívidos da engenhosidade dos adversários e da necessidade urgente de as organizações elevarem suas defesas. O foco persistente em roubo de credenciais e a exploração da engenharia social sublinham que a tecnologia por si só não basta; a conscientização humana e a resiliência operacional são igualmente cruciais. Para as empresas brasileiras, a conformidade com a LGPD e outras regulamentações exige uma postura proativa e estratégias de segurança adaptadas a essas ameaças em evolução. A chave para a resiliência reside na combinação de MFA resistente a phishing, monitoramento contínuo de identidade e acesso, e, acima de tudo, um programa robusto de treinamento e conscientização para capacitar seus colaboradores a serem a primeira linha de defesa. Não espere que sua empresa se torne mais uma estatística.

📚 Aprenda mais: Conheça o treinamento "Defesa Avançada contra Engenharia Social e Phishing" da Coneds em www.coneds.com.br/treinamentos 🔗 Fontes:

#ciberseguran-a#coneds#cyber-attacks#infosec#seguran-a-digital
3 views

Comments

Join the discussion

No comments yet. Be the first to comment.

More from this blog

C

Coneds News

251 posts