A nova campanha conduzida pelo grupo UNC6783 acendeu um alerta urgente no cenário de segurança digital global. Especialistas identificaram uma série de ataques direcionados a empresas que utilizam plataformas de suporte como Zendesk, explorando falhas humanas e processos frágeis em prestadores de serviços terceirizados.
O diferencial dessa ameaça está no uso avançado de engenharia social. Em vez de atacar diretamente grandes corporações, o UNC6783 mira empresas de BPO (Business Process Outsourcing), que frequentemente possuem acesso privilegiado a sistemas críticos. Esse movimento amplia o impacto e expõe uma fragilidade crescente na cadeia de suprimentos digital.
O modus operandi do grupo UNC6783
Os ataques do UNC6783 são altamente direcionados e começam com campanhas de phishing cuidadosamente elaboradas. Um dos métodos mais eficazes observados é o uso de chats ao vivo, onde os criminosos se passam por funcionários ou parceiros legítimos.
Essas interações parecem rotineiras, o que reduz a suspeita das vítimas. Durante a conversa, os invasores induzem operadores de suporte a acessar páginas falsas que imitam perfeitamente ambientes como Zendesk e Okta.
Essas páginas fraudulentas são projetadas para capturar credenciais em tempo real, incluindo tokens de sessão e códigos temporários.
O drible na autenticação multifator (MFA)
Mesmo com a adoção de MFA, o grupo UNC6783 consegue contornar as camadas adicionais de segurança. Isso ocorre por meio de técnicas como roubo da área de transferência, onde códigos copiados são interceptados por scripts maliciosos.
Além disso, os invasores utilizam engenharia social para induzir o registro de dispositivos comprometidos como confiáveis. Isso permite acesso persistente, mesmo após a autenticação inicial.
Outro ponto crítico envolve a criação de sessões autenticadas falsas, que exploram falhas na validação de dispositivos em plataformas como Okta, ampliando a superfície de ataque.
Vítimas de peso e o rastro do “Mr. Raccoon”
Os ataques do UNC6783 já atingiram empresas de grande porte, incluindo a Adobe e a Crunchyroll. Em ambos os casos, os invasores conseguiram acessar sistemas de suporte e extrair grandes volumes de tickets.
Esses tickets frequentemente contêm dados sensíveis, como informações pessoais, credenciais parciais e detalhes internos de infraestrutura.
Um elemento curioso identificado pelos pesquisadores foi a assinatura deixada pelo invasor, apelidado de “Mr. Raccoon”. Esse marcador ajudou analistas a correlacionar diferentes incidentes e confirmar a atuação coordenada do grupo.
Relatórios indicam que milhares de tickets foram comprometidos, evidenciando o potencial destrutivo dessa campanha.
Como proteger sua infraestrutura contra o UNC6783
Diante da sofisticação dos ataques do UNC6783, especialistas da Mandiant recomendam uma abordagem robusta e multicamada para defesa.
Entre as principais medidas estão:
- Adoção de autenticação resistente a phishing, como FIDO2, eliminando dependência de códigos temporários
- Revisão rigorosa de logs de acesso, com foco em sessões suspeitas e novos dispositivos
- Implementação de políticas de acesso com menor privilégio possível
- Bloqueio proativo de domínios maliciosos e páginas falsas relacionadas ao Zendesk
- Treinamento contínuo de equipes de suporte para identificação de engenharia social
Outro ponto essencial é reforçar controles em empresas terceirizadas. Como os ataques exploram a cadeia de suprimentos, a segurança deve ir além do perímetro da organização principal.
Conclusão: a fragilidade da cadeia de suprimentos em evidência
A campanha do UNC6783 evidencia uma mudança estratégica no cibercrime. Em vez de atacar diretamente grandes empresas, os criminosos exploram elos mais fracos, como prestadores de serviço e plataformas de suporte.
Esse cenário reforça a importância de uma abordagem integrada de segurança digital, onde processos, pessoas e tecnologia estejam alinhados.
Ignorar esses riscos pode resultar em vazamentos massivos e danos reputacionais severos. O momento exige ação imediata, com revisão de políticas, fortalecimento de autenticação e maior vigilância sobre acessos indiretos.
Empresas que dependem de ferramentas como Zendesk devem tratar essa ameaça como prioridade crítica, antes que se tornem a próxima vítima.