Uma nova e perigosa campanha de phishing tem como alvo organizações com um tema enganoso de “Prêmio Executivo”, que combina engenharia social com entrega avançada de malware.
Esse ataque em dois estágios primeiro engana os usuários para que compartilhem suas credenciais de login por meio de um formulário HTML falso e, em seguida, implanta o ladrão de informações Stealerium para comprometer os sistemas afetados.
A campanha representa uma tendência crescente em que os invasores combinam roubo de credenciais com infecções por malware em uma operação única e coordenada.
O ataque começa com uma página de phishing em HTML sofisticada intitulada “Virtual-Gift-Card-Claim.html” que imita uma notificação de prêmio corporativo legítimo.
Os usuários que interagem com esta página acreditam que estão verificando as credenciais de suas contas para reivindicar um prêmio executivo, mas em vez disso, suas informações de login são imediatamente enviadas para um servidor de comando e controle do Telegram controlado pelos invasores.
Golpe de prêmio (Fonte – X)
Esta fase de coleta de credenciais serve como o primeiro estágio da cadeia de infecção.
Os analistas de segurança do SpiderLabs identificaram o malware após analisar a infraestrutura da campanha e os padrões de ataque.
Os pesquisadores descobriram que quando um usuário cai na página de phishing, um arquivo SVG malicioso chamado “account-verification-form.svg” é entregue no segundo estágio.
Este arquivo aciona um script sofisticado do PowerShell que opera por meio da cadeia de exploração ClickFix, uma técnica conhecida que abusa dos sistemas de mensagens do Windows para executar comandos ocultos.
O código do PowerShell baixa e instala o infostealer Stealerium no computador da vítima sem o conhecimento ou consentimento do usuário.
O Stealerium representa uma ameaça séria porque opera silenciosamente para extrair informações confidenciais de sistemas infectados.
O malware se comunica com servidores de comando e controle em 31.57.147.77:6464 e usa vários endpoints de download para recuperar componentes e comandos adicionais.
Esta arquitetura permite que os invasores adaptem seus ataques em tempo real com base nas condições do sistema e nas medidas de segurança já implementadas.
Compreendendo o mecanismo de infecção e a execução do PowerShell
A força do ataque reside na forma como ele usa recursos legítimos do Windows contra os usuários. Quando o arquivo SVG malicioso é aberto, os comandos incorporados do PowerShell são executados com visibilidade mínima.
A cadeia ClickFix abusa de protocolos legítimos de mensagens do Windows para acionar a execução sem gerar alertas de segurança típicos.
A partir daí, o Stealerium baixa componentes adicionais, incluindo o arquivo DLL principal, scripts em lote e executáveis de comando.
O malware então estabelece persistência, garantindo que sobreviva às reinicializações do sistema e continue roubando dados. As organizações devem monitorar atividades incomuns do PowerShell, execução suspeita de arquivos SVG e conexões de rede com a infraestrutura de comando e controle identificada em 31.57.147.77:6464.
Os sistemas de detecção de endpoints devem ser configurados para sinalizar tentativas de execução de comandos do PowerShell de fontes não padrão.
O monitoramento de rede deve bloquear o acesso aos endereços IP maliciosos conhecidos e observar as solicitações de DNS associadas a esta campanha.
Os usuários devem permanecer vigilantes em relação a e-mails não solicitados que reivindicam reconhecimento executivo ou notificações de prêmios, pois estes continuam sendo vetores eficazes de engenharia social.
Siga-nos no Google News, LinkedIn e X para obter mais atualizações instantâneas, defina CSN como fonte preferencial no Google.
