Se você administra um blog em WordPress, gere receita com Google AdSense ou simplesmente lida com dados sensíveis de clientes, um novo nome deve entrar no seu radar: TA585. Pesquisadores da Proofpoint descobriram que esse agente de ameaças controla do início ao fim a entrega do malware MonsterV2, evitando depender de parceiros do submundo digital. Essa independência operacional torna a campanha mais difícil de rastrear e de bloquear.
O detalhe que chama atenção é a sofisticação do pacote: de golpes por e-mail a injeções de JavaScript em sites legítimos, TA585 usa múltiplas rotas para chegar ao mesmo objetivo — instalar um trojan capaz de roubar credenciais, clonar criptocarteiras e assumir o controle remoto da máquina. Se você pensa em reputação, privacidade de usuários e possíveis bloqueios de anúncios pelas plataformas, vale acompanhar os desdobramentos.
TA585: o ator que dispensa “terceirização” no cibercrime
Diferentemente de grupos que compram acesso inicial em fóruns ou pagam redes de distribuição, TA585 mantém infraestrutura própria do começo ao fim. Para a Proofpoint, isso eleva o nível de “profissionalização” da campanha:
- Múltiplas técnicas de entrega (phishing, web injects, falsos alertas do GitHub).
- Servidores controlados diretamente pelo grupo, sem intermediários.
- Capacidade de alternar rapidamente entre malwares; Lumma Stealer foi o primeiro escolhido, depois substituído pelo MonsterV2 em 2025.
Da isca ao clique: caminhos usados para instalar o MonsterV2
As campanhas observadas até agora seguem três rotas principais:
- Phishing temático do IRS (Receita Federal dos EUA) – O e-mail leva a um PDF hospedado em URL falsa; o documento redireciona para uma página que usa a tática ClickFix. O usuário é induzido a abrir o Run do Windows ou o PowerShell e colar um comando malicioso.
- Injeções de JavaScript em sites legítimos – Visitantes veem uma verificação CAPTCHA falsa; ao clicar, o mesmo script executa o comando PowerShell que baixa o malware.
- Notificações do GitHub – Hackers mencionam usuários em alertas de segurança inventados; a mensagem contém link para domínio controlado pelo TA585.
Em todas as rotas, o script final conecta-se a intlspring[.]com ou domínios correlatos para baixar o payload do MonsterV2.
MonsterV2: recursos, preço e técnicas de camuflagem
O MonsterV2 — também chamado de Aurotun Stealer por um erro de grafia — combina três papéis: RAT, infostealer e loader. Entre as funções confirmadas:
Imagem: Internet
- Roubo de senhas, cookies e carteiras de criptomoedas (clipper substitui endereços copiados).
- Controle remoto via HVNC, permitindo que o invasor use a máquina sem que a vítima perceba.
- Execução de comandos arbitrários, keylogger, screenshot e download de outros malwares (por exemplo, StealC e Remcos RAT).
- Autoexclusão de países da CEI (Comunidade dos Estados Independentes), sinal comum em grupos russófonos.
O modelo de negócio é por assinatura: US$ 800/mês (Standard) ou US$ 2.000/mês (Enterprise), esta última incluindo suporte ao protocolo Chrome DevTools. Para driblar antivírus, o pacote vem ofuscado com o crypter em C++ SonicCrypt, que só desencripta o payload após checar debugger, sandbox e permissões elevadas.
Infraestrutura compartilhada e ligações com outras famílias
A mesma cadeia de JavaScript inject usada pelo TA585 já foi vista na distribuição do Rhadamanthys Stealer, sugerindo que ferramentas ou códigos são reaproveitados por diferentes grupos. Além disso, quando o MonsterV2 baixa o StealC, ambos usam o mesmo servidor de comando e controle (C2), reforçando a tese de colaboração pontual entre criminosos.
Autonomia do cibercrime: por que donos de sites e criadores de conteúdo precisam repensar a defesa
Concentrar todas as etapas do ataque dentro de uma única operação dá ao TA585 velocidade para mudar domínios, scripts e cargas maliciosas antes que haja listas de bloqueio consolidadas. Para quem mantém sites monetizados ou guarda base de clientes, isso significa:
- Blind spots mais longos — soluções de segurança tradicionais dependem de reputação de domínio; se o atacante troca de infraestrutura rapidamente, o tempo para detecção aumenta.
- Riscos indiretos de SEO e receita — se o seu site hospeda script injetado, pode sofrer queda de ranking, bloqueio de anúncios e desconfiança de usuários.
- Pressão por atualizações ágeis — CMS, plugins e políticas de e-mail precisam de revisões constantes para reduzir superfícies de ataque como formulários de contato ou bibliotecas JavaScript desatualizadas.
- Necessidade de monitoramento de tráfego de saída — MonsterV2 exfiltra dados via HTTP(S); logs de firewall e regras de DLP que detectem chamadas suspeitas a serviços como
api.ipify.orgpodem ajudar a conter danos.
A estratégia “tudo em casa” do TA585 antecipa uma tendência: grupos que dominam cada elo da cadeia diminuem custos e dependência, ao mesmo tempo em que elevam barreiras para defensores. Entender essa dinâmica é o primeiro passo para reforçar políticas de segurança, auditar permissões e, sobretudo, manter processos de resposta tão rápidos quanto a mutação das ameaças.
