Phishing sofisticado usa e-mail falso de compra para roubar senhas e dados com o Purelogs

Pesquisadores da Fortinet, empresa líder em cibersegurança, emitiram um alerta urgente sobre uma campanha de phishing em andamento que representa uma séria ameaça a usuários de sistemas Windows. O ataque utiliza e-mails falsos de pedidos de compra para infiltrar computadores e instalar o PureLogs, um malware altamente especializado em subtrair informações confidenciais, como senhas, dados de carteiras de criptomoedas e credenciais bancárias.

A estratégia dos criminosos é engenhosa e se inicia de forma aparentemente inofensiva. As vítimas recebem um e-mail contendo um arquivo compactado, geralmente nomeado como “PO 2026-P0803.rar”, que simula ser um pedido de compra legítimo. A simples abertura desse arquivo desencadeia uma sequência de ações maliciosas, executando um script oculto em segundo plano que compromete a segurança do sistema sem que o usuário perceba.

Phishing sofisticado mira dados sensíveis com e-mails falsos

O processo de infecção começa com a ativação de um script que aciona o PowerShell, uma ferramenta legítima do Windows frequentemente utilizada por administradores de sistema. Contudo, neste cenário, o PowerShell é explorado para baixar e executar um código malicioso de forma discreta, sem qualquer aviso ou interação do usuário. Essa técnica permite que o malware se estabeleça no sistema antes mesmo que a vítima suspeite de algo.

A campanha se destaca pela sua capacidade de evasão. Ao invés de simplesmente instalar arquivos no disco, o ataque utiliza métodos avançados para permanecer indetectável por soluções de segurança convencionais. A engenharia social por trás do e-mail de pedido de compra falso é a porta de entrada para uma cadeia de infecção que culmina no roubo massivo de dados.

Estratégia furtiva: como o PureLogs se esconde no sistema

Um dos aspectos mais sofisticados dessa campanha é a utilização da técnica conhecida como process hollowing, ou “esvaziamento de processo”. Essencialmente, o malware “sequestra” um programa legítimo e confiável do Windows para se esconder dentro dele. No caso específico desta ameaça, o programa escolhido é o MsBuild.exe, um componente oficial do sistema operacional, amplamente confiável.

O modus operandi é o seguinte: o malware abre o MsBuild.exe em um estado pausado, esvazia sua memória e, em seguida, injeta seu próprio código malicioso no espaço recém-esvaziado. Após a injeção, o processo legítimo é retomado. Para o sistema operacional e, consequentemente, para muitos softwares de segurança, a execução do MsBuild.exe parece completamente normal, dificultando a detecção da atividade maliciosa.

Ataque silencioso: módulos sob demanda e furtividade na memória

Uma vez ativo e oculto dentro do MsBuild.exe, o código malicioso extrai um módulo interno crucial, o Iwnflr.exe. Este módulo é responsável por estabelecer uma conexão com um servidor remoto, controlado pelos atacantes, localizado no endereço 77.83.39.211 pela porta 8443. A comunicação é estabelecida para confirmar a atividade do servidor e, em seguida, o PureLogs é baixado diretamente para a memória do computador infectado.

A decisão de carregar o PureLogs diretamente na memória, sem gravar arquivos no disco rígido, é uma tática de evasão altamente eficaz. Muitos antivírus e ferramentas de segurança monitoram principalmente a gravação de arquivos no disco. Ao operar exclusivamente na memória, o PureLogs evita deixar rastros físicos que poderiam ser facilmente identificados, tornando sua detecção e remoção significativamente mais desafiadoras.

Vasta coleta de dados: de senhas a carteiras de criptomoedas

Com o PureLogs plenamente operacional, o roubo de dados se inicia de maneira abrangente. O malware é programado para vasculhar uma vasta gama de informações sensíveis, incluindo:

• Navegadores: senhas salvas, histórico de navegação e cookies de sessão de plataformas como Chrome, Firefox, Brave, Vivaldi e Edge.
• Carteiras de criptomoedas: chaves privadas e histórico de transações de Bitcoin Core, Dogecoin Core, Litecoin Core, Exodus e Atomic Wallet.
• Credenciais diversas: tokens de autenticação do Discord, senhas de clientes de e-mail como Outlook e credenciais de ferramentas de VPN como ProtonVPN e OpenVPN.

Antes de enviar as informações roubadas, o PureLogs organiza um pacote completo, que inclui uma captura de tela da área de trabalho, dados detalhados do sistema, o conteúdo da área de transferência (clipboard) e o nome de usuário da máquina. Este pacote é então comprimido e criptografado com o robusto algoritmo AES, garantindo que os dados permaneçam protegidos durante o trânsito até o servidor dos atacantes, dificultando a interceptação e análise por ferramentas de segurança.

Proteção essencial: como evitar ser vítima de ataques cibernéticos

A Fortinet ressalta a importância de medidas preventivas robustas. Para empresas, a recomendação é reforçar os filtros de e-mail, desativar a execução de scripts desnecessários em ambientes corporativos e implementar um monitoramento rigoroso de atividades incomuns no PowerShell. A detecção precoce pela própria Fortinet, que marcou as mensagens maliciosas como “vírus detectado”, demonstra a eficácia de filtros de e-mail bem configurados.

Para usuários domésticos e corporativos, a orientação primordial é a desconfiança. É crucial evitar abrir qualquer e-mail com anexos não solicitados, mesmo que o remetente aparente ser uma fonte conhecida ou um parceiro comercial. A verificação da autenticidade de e-mails, especialmente aqueles que pedem ações urgentes ou contêm anexos, é uma linha de defesa fundamental contra ataques de phishing e malware.

Para mais informações sobre como se proteger de ameaças cibernéticas, consulte fontes confiáveis como a CISA (Cybersecurity and Infrastructure Security Agency).

Você encontra mais notícias em nosso site www.sobralonline.com.br e redes sociais. Siga-nos em @SobralOnline para ficar por dentro das últimas novidades!