O grupo de cibercriminosos Cloud Atlas, também conhecido como Clean Ursa, Inception e Red October, foi identificado utilizando o malware inédito VBCloud em campanhas de ataque realizadas ao longo de 2024. Segundo pesquisadores de cibersegurança, a infecção começa com e-mails de phishing contendo documentos maliciosos que exploram a vulnerabilidade CVE-2018-0802 no editor de fórmulas do Microsoft Office. Essa falha permite baixar e executar códigos maliciosos que ativam uma cadeia de infecção complexa.

Mais de 80% dos alvos estão na Rússia, com vítimas menores em Belarus, Canadá, Moldávia, Israel, Quirguistão, Turquia e Vietnã. Desde 2014, o Cloud Atlas tem se destacado por campanhas de espionagem sofisticadas. Em 2022, o grupo utilizou o malware PowerShower para ataques contra Rússia e países vizinhos. Agora, a nova campanha utiliza VBCloud e outros componentes, como o VBShower, para infiltrar sistemas, roubar dados e ocultar rastros.

O ataque se inicia com a abertura de um documento em formato RTF que ativa um backdoor chamado VBShower. Ele baixa e instala o VBCloud, utilizando serviços de armazenamento em nuvem pública para comunicação com os servidores de comando e controle (C2). O VBCloud é acionado automaticamente quando o usuário faz login no sistema, coletando informações como metadados, dados de disco e arquivos com extensões como DOC, PDF, XLS e RTF. Dados relacionados ao Telegram também estão entre os alvos.

Além disso, o PowerShower, outra ferramenta do grupo, executa scripts PowerShell avançados para sondar redes locais e acessar contas de Active Directory por meio de técnicas como “Kerberoasting”. Esse malware é capaz de instalar outros componentes maliciosos, reforçando a cadeia de infecção. Pesquisadores destacam que essas campanhas representam um alto nível de sofisticação, evidenciando a importância de manter sistemas atualizados e tomar cuidado com e-mails suspeitos.