Grupos cibercriminosos nascem e morrem todos os dias, os mais sofisticados é que ganham atenção. Hoje vamos contar a história e falar sobre o modus operandi do Plump Spider, uma facção digital que tem empresas e pessoas físicas do Brasil como principal alvo.
Para entender quem é o Plump Spider (PS), o TecMundo conversou com Jeferson Propheta, vice-presidente da CrowdStrike América Latina. De acordo com Propheta, o grupo “é um novo adversário monitorado pela CrowdStrike com origem brasileira e foco em instituições financeiras — não apenas bancos, mas também empresas que têm braços financeiros, como é comum no varejo, por exemplo”.
O principal método de ataque do PS envolve o vishing e, para você entender o que é isso, precisa acompanhar o contexto do phishing.
Phishing é uma ação que um criminoso faz para uma vítima realizar outra ação. Por exemplo: o atacante envia um email falso de promoção de roupas, a vítima é atraída, clica no link e preenche algum campo com dados pessoais. Outro exemplo, ele envia um arquivo via WhatsApp para desconhecidos com algum nome atraente; na verdade, esse arquivo é um malware. O phishing nada mais é do que uma mensagem falsa para enganar a vítima e ter ganho financeiro. Essa mensagem pode chegar via email, SMS, WhatsApp, redes sociais e outros mensageiros.
Já o vishing é o phishing por voz: o criminoso realiza ligações telefônicas para enganar a vítima e roubar informações pessoais, sensíveis ou bancárias. As ligações podem ser feitas via simulação, com o criminoso se passando por um atendente de banco, por exemplo, ou com programas de inteligência artificial para simulação do timbre de conhecidos — este último, contudo, ainda é extremamente sofisticado e não vale o investimento para golpes simples.
Para ganhar a confiança de vítimas, os cibercriminosos se valem de dados vazados da vítima, como nome, CPF, endereço e logins. Dessa maneira, a ligação fica mais crível.
Sobre o Plump Spider, Jeferson Propheta explica que o “grupo chamou a atenção da CrowdStrike por basear sua atuação em golpes de vishing (phishing por voz), aprimorando o uso de técnicas de engenharia social para aumentar o grau de persuasão em suas empreitadas. O vishing é uma técnica particularmente efetiva por mirar diretamente o erro humano, permitindo ao atacante driblar com mais sucesso a estrutura de proteção dos sistemas operacionais de forma simples, voando abaixo do radar. Isso reduz a possibilidade de detecção de um suposto invasor”.
“Feito no Brasil, para brasileiros”
A facção é completamente brasileira e atua no seguinte esquema: eles se passam por um funcionário de suporte de TI (IT help desk) em chamadas de voice phishing (vishing) para convencer as vítimas a baixar ferramentas de Monitoramento e Gerenciamento Remoto (RMM) e a VPN SoftEther.
“O grupo Plump Spider costuma usar ferramentas personalizadas de reconhecimento LDAP (Lightweight Directory Access Protocol) para obter credenciais (login e senha) de usuários. Além disso, já utilizou um software específico para acessar saldos de contas em uma plataforma de pagamentos. A hipótese mais provável é que o adversário lucra com suas invasões realizando pagamentos fraudulentos”, explica Propheta.
As principais vítimas: instituições financeiras e empresas de serviços financeiros no Brasil, além de gerentes que atuam nesses setores.
A CrowdStrike encontrou domínios que simulavam serviços de suporte ao usuário entre janeiro de 2024 e janeiro de 2025. Neles, o PS hospedava as ferramentas de administrador falsas.
De acordo com a empresa, o Plump Spider é um grupo cibercriminosos “antigo”, ainda ativo e com ações desde 2023. Estão completamente dois anos de cibercrimes sem qualquer identificação por meio das autoridades. Até o momento, não foram identificadas evidências de ligações com outros grupos de criminosos cibernéticos.
Atualmente a CrowdStrike monitora aproximadamente 260 grupos de adversários cibernéticos, sendo que 25 deles têm como potencial alvo o Brasil.
Como se proteger
São diversos passos que você pode tomar para se proteger de grupos como o PS. Siga:
- Acompanhe regularmente fatura e extrato bancário
- Acompanhe seu CPF no Registrato, do Banco Central. Por lá, você tem consulta gratuita a relatórios de chaves Pix, de empréstimos, de financiamentos, de contas em banco e outros
- Acesse o Have I Been Pwned: o site mostra e-mails e senhas que já foram vazados e por onde vazaram
- O site da Receita Federal tem uma área própria para acompanhamentos específicos
Ações preventivas
- Ative segundo fator de autenticação em todas as contas: para aprender mais sobre isso, acesse Entenda por que você precisa ter dupla verificação de segurança em tudo
- Ative PIN de segurança em tudo, principalmente no WhatsApp. O PIN de segurança é mais importante do que o segundo fator de autenticação, visto que ele é exigido de tempos em tempos e a cada novo login. Se um criminoso clonar seu chip para receber SMS, ele ainda tem essa barreira para passar
- Recebeu ligação, e-mail ou mensagem pedindo dados ou informação? Mesmo que a pessoa do outro lado da linha saiba todos os seus dados, desligue o telefone e busque outro contato: caso esteja com dúvida, seja proativo e ligue para o banco no número que aparerece atrás do cartão de crédito. Se estiver usando fixo, faça outra ligação genérica antes para garantir que ninguém segurou a linha
- Ignore mensagens e e-mails suspeitos. Sempre que tiver alguma dúvida, busque outro meio de contato oficial
- Baixe um antivírus no seu aparelho e PC, pois é sempre bom contar com uma camada extra de segurança
- Ao usar e-commerces (lojas online), apenas confira informações novas dentro da própria plataforma
- Use senhas longas: mais importante que variedade de letras, números e símbolos, o tamanho importa (sem piadas)
- Não repita senhas em contas diferentes
- Use um gerenciador de senhas para não esquecer e ficar mais seguro
- Utilize sempre cartões virtuais para compras online (disponível no app do seu banco)
- Cheque o Cadastro Pré para checar seu CPF em operadoras
Você acompanhar o cenário de cibercrimes? Então não perca as principais notícia em nosso caderno especializado aqui no TecMundo!
