O FBI emitiu um alerta sobre uma campanha de engenharia social conduzida pelo grupo cibercriminoso Luna Moth, também conhecido como Chatty Spider, Silent Ransom Group (SRG) e UNC3753, que vem mirando escritórios de advocacia nos Estados Unidos desde 2022. A operação se baseia em táticas de phishing por telefone, conhecidas como TOAD (telephone-oriented attack delivery), nas quais as vítimas recebem e-mails aparentemente legítimos sobre cobranças de assinaturas e são induzidas a ligar para um número de “suporte técnico”.

Durante a ligação, os criminosos orientam a instalação de programas de acesso remoto como Zoho Assist, AnyDesk, Syncro ou Splashtop, alegando tratar-se de uma verificação técnica. Uma vez que obtêm acesso ao dispositivo, os hackers coletam dados sensíveis e exigem resgate para não divulgá-los ou vendê-los. Desde março de 2025, o grupo intensificou suas ações ao fazer ligações diretas às vítimas, fingindo ser do setor de TI da empresa.

Após convencer o funcionário a permitir o acesso remoto, os atacantes utilizam ferramentas legítimas como Rclone ou WinSCP para extrair os dados. Caso o dispositivo não tenha privilégios administrativos, uma versão portátil do WinSCP é empregada. O FBI recomenda atenção a sinais como conexões de Rclone ou WinSCP com IPs externos, e-mails ou ligações pedindo cancelamento de assinaturas, e chamadas inesperadas de supostos técnicos de TI. A EclecticIQ identificou que o Luna Moth registrou pelo menos 37 domínios em março de 2025, muitos imitando portais de suporte técnico de empresas visadas.