Golpe por e-mail – Hackers estão utilizando e-mails com falsos pedidos de compra para comprometer computadores com Windows e instalar o malware PureLogs, segundo uma investigação realizada por pesquisadores da Fortinet. A campanha de phishing, atualmente em andamento, tem como objetivo capturar senhas, informações bancárias, credenciais de acesso e dados de carteiras de criptomoedas.
A infecção começa quando a vítima recebe uma mensagem contendo o arquivo compactado “PO 2026-P0803.rar”. O anexo se apresenta como um pedido de compra legítimo, mas, ao ser aberto, executa silenciosamente um script oculto em segundo plano.
LEIA: Uso de IA é estimulado por 84% das empresas de tecnologia, revela pesquisa
Esse script utiliza o PowerShell, ferramenta nativa do Windows destinada à execução de comandos administrativos, para baixar e executar código malicioso sem que o usuário perceba qualquer atividade suspeita.
Um dos principais diferenciais da campanha é a técnica empregada para evitar a detecção por sistemas de segurança. O método, conhecido como process hollowing, ou “esvaziamento de processo”, consiste em assumir o controle de um programa legítimo do sistema operacional e executar o malware dentro dele.
Na ação identificada pela Fortinet, os criminosos utilizam o MsBuild.exe, componente oficial do Windows amplamente empregado em atividades de desenvolvimento de software. Como se trata de um processo confiável para o sistema, ferramentas de segurança têm mais dificuldade para identificar comportamentos anormais.
O procedimento envolve iniciar o MsBuild.exe em estado suspenso, remover seu conteúdo da memória, inserir o código malicioso nesse espaço e, em seguida, retomar sua execução. Dessa forma, o sistema operacional interpreta a atividade como legítima.
Depois de assumir o controle do processo, o malware extrai um módulo chamado Iwnflr.exe. A função desse componente é estabelecer comunicação com um servidor remoto controlado pelos atacantes.
A conexão ocorre por meio do endereço 77.83.39.211, utilizando a porta 8443. Inicialmente, o módulo verifica se o servidor está ativo. Em seguida, faz o download do PureLogs diretamente para a memória do computador, sem gravar arquivos no disco rígido.
Essa abordagem reduz as chances de detecção, já que grande parte dos antivírus concentra o monitoramento em arquivos armazenados localmente. Como o PureLogs funciona apenas na memória, ele não deixa rastros físicos no HD.
Uma vez ativo, o malware inicia a coleta de dados em larga escala. O programa procura informações armazenadas em navegadores como Chrome, Firefox, Brave, Vivaldi e Edge, incluindo senhas salvas, histórico de navegação e cookies de sessão.
As carteiras de criptomoedas também são alvo da operação. Entre os aplicativos visados estão Bitcoin Core, Dogecoin Core, Litecoin Core, Exodus e Atomic Wallet. O malware busca acessar chaves privadas e registros de transações armazenados no computador infectado.
Além disso, o PureLogs tenta obter tokens de autenticação do Discord, senhas armazenadas em clientes de e-mail como Outlook e credenciais de serviços de VPN, incluindo ProtonVPN e OpenVPN.
Antes de transmitir as informações aos criminosos, o malware reúne os dados coletados em um único pacote. O conteúdo inclui uma captura de tela da área de trabalho, informações do sistema, dados copiados para a área de transferência e o nome de usuário da máquina.
Todo esse material é comprimido e criptografado com AES, algoritmo amplamente utilizado para proteção de dados, dificultando a identificação do conteúdo por ferramentas de segurança durante a transmissão. O pacote é então enviado ao servidor dos invasores por meio de requisições HTTP.
Segundo a Fortinet, os filtros de e-mail da empresa conseguiram identificar as mensagens maliciosas e marcar seus assuntos com o aviso “vírus detectado”, impedindo que os anexos chegassem às caixas de entrada dos usuários monitorados.
Como medida de proteção, os pesquisadores recomendam que empresas reforcem os mecanismos de filtragem de e-mails, limitem a execução de scripts desnecessários e acompanhem atividades incomuns envolvendo o PowerShell.
Para usuários comuns, o ideal é evitar abrir anexos recebidos sem solicitação prévia, mesmo quando a mensagem aparentar ter sido enviada por fornecedores ou parceiros comerciais conhecidos.
Junte cashback e transfira para sua conta com a Benefícios Rede Bee!
A Bee Fenati – a rede social dos profissionais de TI de todo o Brasil – segue em expansão para garantir aos seus usuários cada vez mais benefícios. Agora a plataforma conta com a Benefícios Rede Bee, que reúne descontos em dezenas de grandes marcas, com muitas delas oferecendo cashback, ou seja, o retorno de um valor da sua compra que poderá ser transferido direto para sua conta! (Saiba mais aqui)
Baixe o aplicativo nas lojas App Store e Google Store e aproveite agora! A Bee Fenati reúne em um único ambiente ofertas em áreas como educação, compras, viagens, lazer, serviços, tecnologia e muito mais. Dentre as marcas parceiras estão Magalu, Renner, Drogasil, C&A, Dell, Casas Bahia, Vivo, Petz, Drogaria São Paulo, e muito mais!
Além de poderem aproveitar os descontos oferecidos pelas marcas parceiras, os usuários da plataforma receberão de volta um percentual a cada compra que realizarem em parceiros que oferecem o cashback.
Este valor ficará em uma carteira digital dentro da plataforma da Benefícios Rede Bee e, a partir de R$ 20 reais acumulados em cashback, o trabalhador pode transferir o dinheiro direto para sua conta bancária!
Na prática, a ferramenta permitirá que sócios e contribuintes dos sindicatos filiados à Fenati (Federação Nacional dos Trabalhadores em Tecnologia da Informação) possam ZERAR o valor da sua contribuição assistencial e associativa!
Atualmente, o valor da contribuição é de R$ 32,50 por mês para sócios e R$ 35 por mês para contribuintes, ou seja, é possível recuperar todo esse valor e ainda acumular muito mais – tudo isso contribuindo para fortalecer a categoria e transformando as compras e serviços do cotidiano em ganho real.
(Com informações de Tecmundo)
(Foto: Reprodução/Magnific)
