Pesquisadores do FortiGuard Labs, da empresa Fortinet, identificaram uma nova campanha de phishing que entrega ransomwares e o trojan de acesso remoto Amnesia RAT a usuários, principalmente na Rússia. Os golpistas utilizam táticas avançadas de engenharia social, fingindo ser documentos de rotina benignos.
A campanha se destaca pelo uso de diversos serviços públicos de nuvem para a distribuição de payloads maliciosos. O GitHub é explorado para a entrega de scripts, enquanto o Dropbox é utilizado para fornecer payloads binários, dificultando os esforços de combate e tornando os malwares mais resilientes.
Exploração de ferramentas e técnicas
Os hackers também abusam da ferramenta legítima defendnot para desabilitar o Microsoft Defender, o antivírus padrão do Windows. Essa ferramenta, lançada em 2025 por um pesquisador de segurança conhecido como es3n1n, faz com que o Defender acredite que outro antivírus já está instalado na máquina.
Os cibercriminosos entregam arquivos comprimidos contendo documentos falsos e um arquivo de atalho malicioso (LNK) com nomes em russo. Para disfarçar, eles utilizam uma extensão dupla .txt.lnk, que dá a impressão de ser um arquivo de texto. Quando executado, o arquivo roda um comando PowerShell que baixa o malware do GitHub.
Funcionamento do malware
Uma vez instalado, o malware se estabelece e prepara o sistema para esconder a atividade maliciosa. A janela do PowerShell é oculta, enquanto um documento de texto é aberto para o usuário, disfarçando a ação. O script comunica-se com os cibercriminosos através de uma API de bot do Telegram, que aciona outro script em Visual Basic.
A fase seguinte ocorre na memória, evitando que sinais do ataque sejam detectados no computador. O programa verifica se possui privilégios de administrador e, caso contrário, solicita ao usuário as permissões necessárias. Com a operação em funcionamento, o Amnesia RAT rouba informações de navegadores, carteiras de criptomoeda, dados de aplicativos como Discord, Telegram e Steam, além de capturas de tela e áudio do microfone.
Impacto do ransomware
O ransomware Hakuna Matata também é entregue, encriptando documentos, fechando programas e exigindo resgate. Os pesquisadores destacam que essa campanha demonstra como os malwares modernos exploram características nativas do Windows, em um método conhecido como “living-off-the-land”.
Para mitigar os riscos, é recomendado ativar a Proteção Contra Adulteração do Windows Defender e estar atento a chamadas de API suspeitas e alterações no aplicativo de segurança nativo.
Opinião
A nova campanha de phishing revela a crescente sofisticação dos ataques cibernéticos e a importância de se manter sempre alerta e protegido.
