Pesquisadores da Fortinet descobriram uma campanha de phishing em andamento que usa pedidos de compra falsos para invadir computadores com Windows e instalar o PureLogs, um programa especializado em roubar senhas, carteiras de criptomoedas e dados bancários.

O ataque começa em uma etapa simples. A vítima recebe um e-mail com um arquivo compactado chamado "PO 2026-P0803.rar" anexado, que aparenta ser um pedido de compra legítimo. Ao abrir o arquivo, um script escondido é executado automaticamente em segundo plano.

Esse script aciona o PowerShell, ferramenta nativa do Windows usada por administradores de sistema para executar comandos, e usa essa abertura para baixar e rodar um código malicioso sem que o usuário perceba nada.

O truque para não ser detectado

A parte mais sofisticada do ataque é uma técnica chamada process hollowing, ou "esvaziamento de processo" em tradução literal. Basicamente, o malware sequestra um programa legítimo e confiável do Windows para se esconder dentro dele.

No caso desta campanha, o programa escolhido é o MsBuild.exe, um componente oficial do sistema usado no desenvolvimento de software. O Windows confia completamente nele, o que dificulta que antivírus e ferramentas de segurança identifiquem algo errado.

O processo funciona assim. O malware abre o MsBuild.exe em estado pausado, esvazia a memória do programa, insere o próprio código no espaço vazio e retoma a execução. Para o sistema operacional, tudo parece normal.

Módulos baixados sob demanda

Uma vez ativo dentro do MsBuild.exe, o código malicioso extrai um módulo interno chamado Iwnflr.exe. Esse módulo tem uma função específica, conectar o computador infectado a um servidor remoto controlado pelos atacantes.

A conexão é feita com o servidor no endereço 77.83.39.211 pela porta 8443. O código primeiro envia uma requisição para confirmar que o servidor está ativo e, em seguida, baixa o PureLogs diretamente na memória do computador, sem salvar nenhum arquivo no disco rígido.

Isso é relevante porque a maioria dos antivírus monitora arquivos gravados no disco. Como o PureLogs roda apenas na memória, ele não deixa rastros físicos no HD.

O que o malware rouba

Com o PureLogs ativo, o roubo de dados começa de forma abrangente. O programa vasculha navegadores como Chrome, Firefox, Brave, Vivaldi e Edge em busca de senhas salvas, histórico de navegação e cookies de sessão.

Carteiras de criptomoedas também estão na mira, entre elas Bitcoin Core, Dogecoin Core, Litecoin Core, Exodus e Atomic Wallet. O malware tenta acessar chaves privadas e o histórico de transações armazenados localmente. Além disso, o PureLogs coleta tokens de autenticação do Discord, senhas de clientes de e-mail como Outlook e credenciais de ferramentas de VPN como ProtonVPN e OpenVPN.

Como os dados chegam aos criminosos

Antes de enviar tudo, o malware organiza o pacote de informações roubadas. Ele inclui uma captura de tela da área de trabalho, dados do sistema, conteúdo do clipboard e o nome de usuário da máquina.

Esse conjunto é comprimido e criptografado com AES, um algoritmo de criptografia robusto, para evitar que ferramentas de segurança detectem os dados em trânsito. O pacote final é enviado de volta ao servidor dos atacantes via requisições HTTP.

A boa notícia é que os filtros de e-mail da própria Fortinet conseguiram identificar as mensagens maliciosas e marcar o assunto como "vírus detectado". Isso impedia que os anexos chegassem às caixas de entrada dos usuários monitorados.

Como se proteger

Os pesquisadores recomendam que empresas reforcem os filtros de e-mail, desativem a execução de scripts desnecessários no ambiente corporativo e monitorem atividades fora do padrão no PowerShell.

Para usuários comuns, a orientação principal é desconfiar de qualquer e-mail com arquivo anexado que não foi solicitado, mesmo que o remetente pareça ser um fornecedor ou parceiro comercial conhecido.

Acompanhe o TecMundo nas redes sociais. Inscreva-se em nossa newsletter e canal do YouTube.