Pesquisadores de segurança descobriram uma nova campanha de phishing que tenta enganar os usuários a colar e executar comandos maliciosos em seus sistemas, usando uma técnica sofisticada chamada de paste and run. Nesta técnica, os atacantes enviam e-mails que parecem ser de empresas ou organizações legítimas, abordando tópicos como processamento de taxas ou instruções operacionais para atrair as vítimas a abrir arquivos anexos.

Ao clicar no anexo HTML, uma mensagem falsa é exibida no navegador, disfarçada como um documento do Microsoft Word. A mensagem então instrui o usuário a clicar em um botão “Como corrigir”, que fornece comandos para serem digitados: primeiro [Win+R], depois [Ctrl+V], e finalmente [Enter]. Alternativamente, o botão pode instruir o usuário a acessar manualmente o terminal do Windows PowerShell e clicar com o botão direito na janela do terminal.

Seguindo essas instruções, a vítima acaba colando um script malicioso no terminal, que é executado no sistema. O script do PowerShell baixado e executado por essa técnica faz parte da família de malwares DarkGate. Após a execução do script, ele baixa e executa um arquivo HTA (HTML Application) de um servidor de comando e controle remoto, que por sua vez executa um arquivo AutoIt3.exe com um script malicioso, infectando o sistema e limpando a área de transferência do usuário para ocultar a execução dos comandos maliciosos.