Pesquisadores da Fortinet identificaram uma nova e sofisticada campanha de phishing que tem como alvo usuários de sistemas Windows. O ataque explora e-mails falsos de pedidos de compra para infiltrar computadores e instalar o PureLogs, um malware especializado em roubar uma vasta gama de informações sensíveis, incluindo senhas, dados de carteiras de criptomoedas e credenciais bancárias.
A ameaça representa um risco significativo para indivíduos e empresas, dada a sua capacidade de operar de forma furtiva, evadindo detecções por métodos tradicionais de segurança. A técnica empregada pelos cibercriminosos demonstra uma evolução nas táticas de invasão, focando na discrição e na exploração de ferramentas legítimas do sistema operacional para atingir seus objetivos maliciosos.
A engenharia por trás do ataque de phishing inicial
O ponto de partida para a infecção é um e-mail aparentemente inofensivo, que simula um pedido de compra legítimo. A mensagem contém um arquivo compactado, geralmente nomeado como “PO 2026-P0803.rar”, que, ao ser aberto pela vítima, desencadeia uma sequência de eventos maliciosos.
Ao interagir com o anexo, um script oculto é executado automaticamente em segundo plano. Este script, por sua vez, aciona o PowerShell, uma ferramenta nativa do Windows amplamente utilizada por administradores de sistema para automação e execução de comandos. Essa abertura é então explorada para baixar e rodar um código malicioso sem qualquer aviso ou percepção do usuário.
Evasão sofisticada: o “esvaziamento de processo”
Uma das características mais avançadas desta campanha é a técnica de evasão conhecida como process hollowing, ou “esvaziamento de processo”. Este método permite que o malware se esconda dentro de um programa legítimo e confiável do Windows, tornando sua detecção extremamente difícil para softwares de segurança.
Neste ataque específico, o programa escolhido para o sequestro é o MsBuild.exe, um componente oficial do sistema operacional associado ao desenvolvimento de software. A confiança que o Windows deposita neste executável é explorada: o malware inicia o MsBuild.exe em estado pausado, esvazia sua memória, injeta seu próprio código malicioso no espaço liberado e, em seguida, retoma a execução. Para o sistema operacional, a atividade parece ser a de um processo normal do MsBuild.exe.
Módulos sob demanda e a exfiltração de dados
Uma vez ativo e oculto dentro do MsBuild.exe, o código malicioso extrai um módulo interno chamado Iwnflr.exe. A função primária deste módulo é estabelecer uma conexão segura e discreta com um servidor remoto, sob controle dos atacantes. Esta comunicação é realizada através do endereço IP 77.83.39.211 na porta 8443.
Após confirmar a disponibilidade do servidor, o Iwnflr.exe procede ao download do PureLogs diretamente para a memória do computador infectado, sem gravar nenhum arquivo no disco rígido. Essa abordagem é crucial para a evasão, pois muitos antivírus concentram sua varredura em arquivos armazenados. Ao operar exclusivamente na memória, o PureLogs evita deixar rastros físicos que poderiam alertar as ferramentas de segurança.
Com o PureLogs em pleno funcionamento, o roubo de dados é iniciado. O programa vasculha extensivamente navegadores populares como Chrome, Firefox, Brave, Vivaldi e Edge, coletando senhas salvas, histórico de navegação e cookies de sessão. Além disso, mira em carteiras de criptomoedas como Bitcoin Core, Dogecoin Core, Litecoin Core, Exodus e Atomic Wallet, buscando chaves privadas e históricos de transações.
A abrangência do ataque se estende a tokens de autenticação do Discord, senhas de clientes de e-mail como Outlook e credenciais de ferramentas de VPN, incluindo ProtonVPN e OpenVPN. Antes da exfiltração, o malware organiza os dados roubados, adicionando uma captura de tela da área de trabalho, informações do sistema, conteúdo da área de transferência e o nome de usuário da máquina.
Este pacote de informações é então comprimido e criptografado usando o algoritmo AES, garantindo que os dados permaneçam protegidos durante o trânsito até o servidor dos atacantes, dificultando a interceptação e análise por sistemas de segurança. A Fortinet, responsável pela descoberta, conseguiu identificar e bloquear as mensagens maliciosas em seus filtros de e-mail, marcando-as como “vírus detectado” e impedindo que chegassem aos usuários monitorados.
Protegendo-se contra a ameaça do PureLogs
Para empresas, os pesquisadores recomendam fortalecer os filtros de e-mail, desativar a execução de scripts desnecessários em ambientes corporativos e implementar um monitoramento rigoroso de atividades incomuns no PowerShell. Essas medidas proativas são essenciais para mitigar o risco de infecção.
Usuários comuns devem adotar uma postura de desconfiança em relação a e-mails não solicitados, especialmente aqueles que contêm anexos, mesmo que o remetente aparente ser uma entidade conhecida. A verificação da autenticidade do remetente e do conteúdo antes de abrir qualquer anexo é uma prática de segurança fundamental. Para mais informações sobre segurança cibernética, consulte fontes confiáveis como a Agência de Segurança Cibernética e Infraestrutura (CISA).
