Os cibercriminosos descobriram uma maneira inteligente de inserir malware nos computadores dos candidatos a emprego, disfarçando arquivos maliciosos como documentos de recrutamento legítimos.
Uma nova campanha chamada ValleyRAT tem como alvo pessoas que procuram ativamente emprego por meio de mensagens de e-mail contendo ofertas de emprego falsas e materiais da empresa.
O ataque se espalha por meio de arquivos compactados com nomes projetados para parecerem profissionais, como “Overview_of_Work_Expectations.zip” ou “Candidate_Skills_Assessment_Test.rar”.
Quando candidatos desavisados abrem esses arquivos, eles inadvertidamente convidam um perigoso trojan de acesso remoto para seus sistemas.
O principal truque da campanha envolve a exploração do popular Foxit PDF Reader. Dentro de cada arquivo malicioso há um arquivo executável disfarçado que parece ser o aplicativo Foxit real, completo com o ícone reconhecível do programa.
Arquivo chamariz contendo detalhes de uma vaga de emprego (Fonte -Trend Micro)
Os usuários veem o familiar símbolo do PDF e presumem que estão abrindo um documento simples, sem saber que o arquivo na verdade contém malware oculto projetado para assumir o controle de seus computadores.
Além do engano inicial, os cibercriminosos empregam um método técnico chamado carregamento lateral de DLL para ativar a carga maliciosa sem disparar alarmes.
Os pesquisadores de segurança da Trend Micro identificaram esta campanha sofisticada depois de observar um aumento significativo nas detecções do ValleyRAT no final de outubro.
O sucesso do malware decorre da combinação de múltiplas técnicas de ataque que funcionam perfeitamente juntas.
Cadeia de infecção ValleyRAT (Fonte -Trend Micro)
A engenharia social atrai o estresse emocional da procura de emprego, tornando os alvos menos cautelosos com o que baixam.
Estruturas de pastas falsas e diretórios ocultos adicionam camadas de confusão, ajudando o malware a evitar a detecção.
Uma vez ativado, o malware é executado silenciosamente em segundo plano enquanto o usuário visualiza uma oferta de emprego convincente na tela.
Compreendendo a cadeia de infecção
O processo de infecção se desenrola através de uma sequência cuidadosamente orquestrada. Quando um usuário clica no executável Foxit renomeado, uma biblioteca maliciosa (msimg32.dll) é carregada automaticamente através do mecanismo de busca de arquivos do Windows.
Execução de document.bat (Fonte -Trend Micro)
Isso aciona um script em lote que extrai um ambiente Python oculto armazenado em arquivos de documentos aparentemente inocentes. O interpretador Python então baixa e executa um script malicioso contendo shellcode, que finalmente implanta o trojan ValleyRAT completo.
O malware estabelece persistência criando entradas de registro que garantem que ele sobreviva às reinicializações do sistema.
Uma vez instalado, o ValleyRAT oferece aos invasores controle total sobre as máquinas comprometidas. O trojan pode monitorar a atividade do usuário, roubar informações confidenciais de navegadores da web e extrair dados valiosos de sistemas infectados.
As evidências mostram que o malware tem como alvo explicitamente informações de senha e credenciais de login armazenadas por navegadores populares, tornando-o uma ameaça significativa à segurança financeira pessoal e à proteção de identidade.
Os candidatos a emprego e os profissionais de recursos humanos continuam a ser os alvos principais, embora a campanha continue a evoluir para atingir públicos mais vastos.
Siga-nos no Google News, LinkedIn e X para obter mais atualizações instantâneas. Defina CSN como fonte preferencial no Google.
