📸 Créditos da imagem: reprodução / Tecmundo
Pesquisadores da Fortinet descobriram uma campanha de phishing em andamento que usa pedidos de compra falsos para invadir computadores com Windows e instalar o PureLogs, um programa especializado em roubar senhas, carteiras de criptomoedas e dados bancários. O ataque começa em uma etapa simples. A vítima recebe um e-mail com um arquivo compactado chamado “PO 2026-P0803. rar” anexado, que aparenta ser um pedido de compra legítimo. Ao abrir o arquivo, um script escondido é executado automaticamente em segundo plano. Esse script aciona o PowerShell, ferramenta nativa do Windows usada por administradores de sistema para executar comandos, e usa essa abertura para baixar e rodar um código malicioso sem que o usuário perceba nada. O truque para não ser detectadoA parte mais sofisticada do ataque é uma técnica chamada process hollowing, ou “esvaziamento de processo” em tradução literal.
Basicamente, o malware sequestra um programa legítimo e confiável do Windows para se esconder dentro dele. No caso desta campanha, o programa escolhido é o MsBuild. exe, um componente oficial do sistema usado no desenvolvimento de software. O Windows confia completamente nele, o que dificulta que antivírus e ferramentas de segurança identifiquem algo errado. O processo funciona assim. O malware abre o MsBuild. exe em estado pausado, esvazia a memória do programa, insere o próprio código no espaço vazio e retoma a execução.
Para o sistema operacional, tudo parece normal. Módulos baixados sob demandaUma vez ativo dentro do MsBuild. exe, o código malicioso extrai um módulo interno chamado Iwnflr. exe. Esse módulo tem uma função específica, conectar o computador infectado a um servidor remoto controlado pelos atacantes. A conexão é feita com o servidor no endereço 77.83.39.211 pela porta 8443. O código primeiro envia uma requisição para confirmar que o servidor está ativo e, em seguida, baixa o PureLogs diretamente na memória do computador, sem salvar nenhum arquivo no disco rígido. Isso é relevante porque a maioria dos antivírus monitora arquivos gravados no disco.
Como o PureLogs roda apenas na memória, ele não deixa rastros físicos no HD. O que o malware roubaCom o PureLogs ativo, o roubo de dados começa de forma abrangente. O programa vasculha navegadores como Chrome, Firefox, Brave, Vivaldi e Edge em busca de senhas salvas, histórico de navegação e cookies de sessão. Carteiras de criptomoedas também estão na mira, entre elas Bitcoin Core, Dogecoin Core, Litecoin Core, Exodus e Atomic Wallet. O malware tenta acessar chaves privadas e o histórico de transações armazenados localmente.
Além disso, o PureLogs coleta tokens de autenticação do Discord, senhas de clientes de e-mail como Outlook e credenciais de ferramentas de VPN como ProtonVPN e OpenVPN. Como os dados chegam aos criminososAntes de enviar tudo, o malware organiza o pacote de informações roubadas. Ele inclui uma captura de tela da área de trabalho, dados do sistema, conteúdo do clipboard e o nome de usuário da máquina. Esse conjunto é comprimido e criptografado com AES, um algoritmo de criptografia robusto, para evitar que ferramentas de segurança detectem os dados em trânsito. O pacote final é enviado de volta ao servidor dos atacantes via requisições HTTP. A boa notícia é que os filtros de e-mail da própria Fortinet conseguiram identificar as mensagens maliciosas e marcar o assunto como “vírus detectado”.
Isso impedia que os anexos chegassem às caixas de entrada dos usuários monitorados. Como se protegerOs pesquisadores recomendam que empresas reforcem os filtros de e-mail, desativem a execução de scripts desnecessários no ambiente corporativo e monitorem atividades fora do padrão no PowerShell. Para usuários comuns, a orientação principal é desconfiar de qualquer e-mail com arquivo anexado que não foi solicitado, mesmo que o remetente pareça ser um fornecedor ou parceiro comercial conhecido.
📰 Leia a notícia completa em: Tecmundo »