Cibercampanha usa avisos legais para roubar dados

Uma campanha de phishing está a utilizar falsos avisos de violação de direitos de autor para distribuir malware de roubo de informação, afetando organizações em setores críticos.

Segundo a Trend Micro, os ataques visam sobretudo entidades dos setores da saúde, governo, educação e hotelaria, com maior incidência na Alemanha e no Canadá, embora também tenham sido identificados alvos nos Estados Unidos e na Austrália, explica o Dark Reading.

A campanha recorre a emails que simulam notificações legais urgentes, levando as vítimas a descarregar ficheiros aparentemente legítimos. Estes ficheiros, disfarçados de documentos PDF, iniciam a execução do infostealer PureLog através de um processo fileless em memória, dificultando a deteção.

O ataque utiliza múltiplas camadas de evasão, incluindo loaders em Python e .NET, técnicas de ofuscação de código, mecanismos anti-virtualização e bypass ao Antimalware Scan Interface (AMSI) do Windows.

Após a execução, o malware estabelece persistência no sistema e recolhe dados sensíveis, incluindo credenciais de browsers, carteiras de criptomoedas, extensões e informação do sistema. Pode ainda capturar screenshots e permitir o comprometimento adicional de contas e sistemas.

Os investigadores destacam que a campanha combina engenharia social com execução em memória e entrega faseada de payloads, reduzindo a probabilidade de deteção por ferramentas tradicionais.

Este tipo de abordagem reflete uma mudança para ataques mais direcionados e sofisticados, em vez de campanhas massivas, com foco em organizações com maior valor estratégico.

Para mitigar o risco, a Trend Micro recomenda a implementação de mecanismos de deteção comportamental, monitorização de telemetria de rede e utilização de soluções EDR/XDR com capacidade de análise em memória. Adicionalmente, as organizações devem reforçar a formação dos utilizadores para identificar mensagens suspeitas, especialmente notificações legais inesperadas com anexos ou links.