Novo ataque de phishing utiliza malware Infostealer avançado para roubo de dados
Especialistas em cibersegurança identificaram um novo ataque de phishing que utiliza um malware infostealer altamente furtivo para roubar dados sensíveis. Este malware vai além do roubo de senhas, visando cookies de sessão, informações de cartões de crédito, extensões de Bitcoin e histórico de navegação.
Como o Ataque Acontece
O ataque começa com um e-mail de phishing, muitas vezes cheio de erros gramaticais, que atrai a vítima a abrir um anexo contendo um suposto pedido de compra. O anexo inclui um arquivo de imagem ISO, que é uma réplica precisa de dados de discos ópticos, como CDs ou DVDs. Dentro deste arquivo ISO, há um arquivo HTA (HTML Application), que, ao ser executado, inicia uma série de atividades maliciosas.
A Cadeia de Infecção
Uma vez que o arquivo HTA é executado, ele faz o download e a execução de um arquivo JavaScript ofuscado de um servidor remoto. Esse script ativa um comando PowerShell que busca um arquivo ZIP, também hospedado remotamente. Dentro desse ZIP está o malware infostealer, baseado em Python, pronto para iniciar suas atividades.
A Ação do Malware
O infostealer atua rapidamente, coletando uma ampla gama de informações do navegador, como senhas salvas, cookies de sessão e histórico de navegação. Ele também consegue capturar dados de extensões relacionadas a criptomoedas, como MetaMask e Coinbase Wallet. Além disso, o malware copia arquivos PDF e compacta diretórios inteiros, incluindo as pastas Desktop, Downloads e Documentos.
Consequências do Ataque
Após coletar todos esses dados, o malware envia as informações roubadas como um anexo ZIP para uma conta de e-mail remota, permitindo que os atacantes tenham acesso imediato aos dados exfiltrados. Essa técnica avançada de exfiltração de dados representa uma ameaça significativa tanto para empresas quanto para usuários individuais, exigindo medidas de proteção mais robustas contra phishing e malware.
Fonte: BoletimSec
Saiba mais sobre o Seguro Cyber:
