Pesquisadores de cibersegurança descobriram uma campanha de espionagem persistente que permitiu a atacantes desconhecidos manter acesso à caixa de correio **Outlook** de um executivo sênior de bolsa de valores por pelo menos cinco meses. A violação, detalhada pela **Symantec** e pela Equipe de Caça a Ameaças da **Carbon Black**, envolveu a exfiltração furtiva de toda a caixa de entrada do executivo, roteada através de serviços de nuvem de consumo para mascarar atividades maliciosas. ### Exfiltração de Dados Clandestina Os atacantes copiaram meticulosamente o conteúdo da caixa de correio em pequenos lotes repetidos, garantindo que o tráfego se misturasse perfeitamente com as operações normais da nuvem. Este método, combinado com o uso de serviços legítimos como **Dropbox** e **OneDrive**, sublinha um esforço deliberado para permanecer indetectado e complicar a atribuição. A natureza dos dados comprometidos – potencialmente incluindo detalhes não públicos de listagem, assuntos de fiscalização, termos de negócios e planos de movimentação de mercado – sugere fortemente um objetivo de coleta de inteligência em vez de roubo financeiro. ### Acesso Profundo e Origens Incertas A atividade maliciosa inicial foi observada em 10 de outubro de 2025, momento em que os atacantes já haviam obtido privilégios de nível SYSTEM na máquina do executivo. Eles implantaram binários disfarçados como atualizadores da **Adobe** e **OneDrive**, indicando um comprometimento profundo. Embora o ponto de entrada inicial permaneça desconhecido, a **Symantec** sugere que provavelmente resultou de movimento lateral dentro da rede, originado de um dispositivo previamente comprometido. A operação escalou em 12 de novembro, com os atacantes obtendo um token de API do **Dropbox** e iniciando uploads de dados via `curl`. Sua principal ferramenta para exfiltração foi um roubador de caixa de correio personalizado construído sobre **Aspose**, uma biblioteca legítima .NET usada para ler arquivos OST e PST do **Outlook**. Esta ferramenta era executada periodicamente, extraindo novos dados de e-mail em intervalos de datas específicos, garantindo uma cópia quase contínua, porém discreta, da caixa de correio. ### Táticas e Ferramentas Evasivas Para manter a furtividade, os atacantes configuraram tarefas agendadas para imitar serviços legítimos do sistema da **Adobe**, **Lenovo** e **OneDrive**. Para a exfiltração via **OneDrive**, eles se conectaram diretamente a endereços IP da **Microsoft** codificados, contornando consultas DNS que ferramentas de perímetro poderiam monitorar ou bloquear. Embora tenham testado brevemente o host de arquivos públicos `temp.sh`, eles o abandonaram em favor dos serviços de nuvem mais clandestinos. Análises adicionais da intrusão revelaram um conjunto de ferramentas mais amplo, incluindo **FRPC** para tunelamento de tráfego, **Secretsdump** para extrair credenciais do Windows, **SharpDecryptPwd** para recuperar senhas de aplicativos salvas e uma ferramenta para contornar o Controle de Conta de Usuário (UAC) do Windows. O uso de ferramentas públicas e serviços de nuvem de consumo impediu, até agora, a atribuição definitiva a um grupo de ameaças específico. ### Além dos Patches: O Imperativo do Monitoramento Este incidente é particularmente notável porque não envolveu a exploração de uma vulnerabilidade recém-divulgada ou um **CVE**. Em vez disso, foi uma intrusão direcionada contra a caixa de correio de uma pessoa, enfatizando que o patching tradicional sozinho não pode mitigar tais ameaças. O ônus da defesa muda inteiramente para um monitoramento robusto e capacidades de resposta rápida. Para profissionais de segurança de TI que protegem organizações com informações que movem o mercado – como bolsas de valores, reguladores ou empresas financeiras – a vigilância é primordial. Indicadores-chave de comprometimento incluem atividade incomum de exportação de caixa de correio, padrões suspeitos de acesso ao **Outlook**, uploads para contas pessoais do **Dropbox** ou **OneDrive**, tunelamento inesperado e extração de credenciais em sistemas usados por usuários privilegiados. O monitoramento proativo desses comportamentos é crucial para detectar e frustrar tentativas de espionagem sofisticadas semelhantes.