Seguir 
O phishing continua a ser uma das ferramentas mais eficazes no arsenal dos cibercriminosos, especialmente quando os agentes de ameaça abusam da credibilidade de instituições de confiança e de serviços digitais familiares para aumentar a interação das vítimas. No final de março de 2026, o CERT-UA revelou uma campanha de phishing rastreada como UAC-0255, na qual os atacantes se fizeram passar pela agência e tentaram infetar organizações em toda a Ucrânia, nos setores público e privado, com o AGEWHEEZE RAT.
Detetar ataques UAC-0255 abordados no CERT-UA#21075
A Europol observa que o phishing continua a ser o principal vetor de distribuição de malware de roubo de dados, refletindo como a engenharia social impulsionada por e-mails e URLs permanece central na entrega de malware. O mesmo padrão é visível em toda a atividade de phishing que o CERT-UA tem vindo a documentar contra a Ucrânia ao longo de 2026.
No início deste ano, o CERT-UA reportou uma campanha UAC-0190 direcionada às Forças Armadas Ucranianas com o backdoor PLUGGYAPE e, mais tarde, divulgou atividade UAC-0252 em que e-mails que se faziam passar por autoridades executivas centrais e administrações regionais atraíam as vítimas a executar payloads SHADOWSNIFF e SALATSTEALER. O mais recente ataque UAC-0255 abordado no alerta CERT-UA#21075 enquadra-se na mesma tendência mais ampla, com os agentes de ameaça agora a abusarem da própria identidade do CERT-UA para tornar o engodo mais convincente e alargar o alvo a organizações tanto do setor público como do privado.
Registe-se na plataforma SOC Prime para detetar proativamente o UAC-0255 e ataques semelhantes nas fases mais iniciais possíveis. Basta clicar em Explorar Detecções abaixo e aceder a um conjunto de regras de deteção relevante, enriquecido com CTI nativo de IA, mapeado para o framework MITRE ATT&CK® e compatível com várias tecnologias SIEM, EDR e Data Lake.
Os especialistas em segurança também podem usar a etiqueta “CERT-UA#21075” com base no identificador do alerta CERT-UA relevante para pesquisar diretamente o conjunto de deteções e acompanhar quaisquer alterações ao conteúdo. Para mais regras para detetar ataques relacionados com adversários, os defensores cibernéticos podem pesquisar na biblioteca do Threat Detection Marketplace usando a etiqueta “UAC-0255“.
Os profissionais de cibersegurança também podem recorrer ao Uncoder AI para analisar inteligência de ameaças em tempo real, gerar Attack Flows, regras Sigma, simulações e validações, conceber deteções em 56 idiomas e criar fluxos de trabalho agentivos personalizados. Visite https://socprime.ai/ para saber mais.
Analisar ataques UAC-0255 que se fazem passar pelo CERT-UA para implementar o AGEWHEEZE
Em 26–27 de março de 2026, o CERT-UA identificou uma campanha de phishing na qual os atacantes se fizeram passar pela agência e instaram os destinatários a descarregar arquivos protegidos por palavra-passe a partir do serviço Files.fm, incluindo “CERT_UA_protection_tool.zip” e “protection_tool.zip.” Os arquivos continham conteúdo malicioso apresentado como software especializado a ser instalado pelas organizações visadas.
Os e-mails maliciosos foram distribuídos amplamente por toda a Ucrânia e visaram organizações governamentais, centros médicos, empresas de segurança, instituições de ensino, organizações financeiras, empresas de desenvolvimento de software e outras entidades, destacando o alcance da campanha nos setores público e privado.
O alerta CERT-UA#21075 também detalha a descoberta do website fraudulento cert-ua[.]tech, que reutilizava materiais do website oficial cert.gov.ua e incluía instruções para descarregar a falsa ferramenta de proteção. Isto ajudou os atacantes a reforçar a legitimidade do engodo e a aumentar as hipóteses de interação do utilizador ao abusar da confiança na Equipa de Resposta a Emergências Informáticas da Ucrânia.
O executável disponibilizado para instalação foi determinado como uma estirpe de malware de acesso remoto multifuncional rastreada pelo CERT-UA como AGEWHEEZE. O AGEWHEEZE é um RAT baseado em Go que suporta um amplo conjunto de capacidades de administração remota. Para além de funções padrão como execução de comandos e gestão de ficheiros, o malware pode transmitir o conteúdo do ecrã, emular entradas de rato e teclado, interagir com a área de transferência, gerir processos e serviços e abrir URLs no host comprometido.
A infraestrutura de comando e controlo do malware foi alojada na rede do fornecedor francês OVH (AS16276). Na porta 8443/tcp, os investigadores observaram uma página web intitulada “The Cult” contendo um formulário de autenticação, enquanto o código-fonte HTML incluía strings em russo a indicar acesso bloqueado ao serviço. O CERT-UA também constatou que o certificado SSL autoassinado associado tinha sido criado em 18 de março de 2026 e que o campo Organization continha o valor “TVisor.”
Durante uma revisão do website cert-ua[.]tech gerado por IA, o CERT-UA encontrou referências incorporadas ao canal do Telegram CyberSerp, incluindo a frase “With Love, CYBER SERP.” Em 28 de março de 2026, o mesmo canal do Telegram reivindicou publicamente a responsabilidade pelo ataque, ajudando a remover a incerteza quanto à atribuição técnica. Com base nestas constatações, o CERT-UA atribuiu à atividade o identificador UAC-0255.
Apesar da amplitude do alvo, o CERT-UA avaliou o ataque como malsucedido. Os investigadores identificaram apenas alguns dispositivos pessoais infetados pertencentes a funcionários de instituições de ensino, e a equipa de resposta prestou a assistência prática e metodológica necessária.
Contexto do MITRE ATT&CK
Aproveitar o MITRE ATT&CK oferece uma visão aprofundada sobre a mais recente campanha de phishing UAC-0255 que se faz passar pelo CERT-UA. A tabela abaixo apresenta todas as regras Sigma relevantes mapeadas para as táticas, técnicas e sub-técnicas ATT&CK associadas.
