Especialistas em cibersegurança descobriram um novo ataque de phishing sofisticado que utiliza um malware infostealer altamente furtivo para roubar uma ampla gama de dados sensíveis. Este malware não se limita a coletar senhas salvas, mas também tem como alvo cookies de sessão, informações de cartões de crédito, extensões relacionadas a Bitcoin e histórico de navegação. O ataque começa com um e-mail de phishing que atrai as vítimas a abrir um arquivo de pedido de compra em anexo. Esses e-mails, muitas vezes contendo erros gramaticais, parecem vir de endereços falsos.
O anexo inclui um arquivo de imagem ISO, que é uma réplica precisa de dados de discos ópticos como CDs ou DVDs. Dentro deste arquivo ISO, está um arquivo HTA (HTML Application), que executa aplicações sem as limitações de segurança típicas de um navegador. Uma vez que o arquivo HTA é executado, uma série de cargas maliciosas é ativada. Isso começa com o download e execução de um arquivo JavaScript ofuscado de um servidor remoto, que por sua vez aciona um arquivo PowerShell para buscar um arquivo ZIP do mesmo servidor. Este ZIP contém um malware infostealer baseado em Python.
O malware atua rapidamente, coletando uma variedade de informações do navegador, incluindo senhas salvas, histórico de navegação e cookies de sessão. Além disso, ele consegue capturar informações de extensões relacionadas a criptomoedas, como MetaMask e Coinbase Wallet, além de copiar arquivos PDF e compactar diretórios inteiros, incluindo as pastas Desktop, Downloads e Documentos. Depois de coletar esses dados, o malware envia todas as informações roubadas como um anexo ZIP para uma conta de e-mail remota. Este método de exfiltração de dados destaca uma mudança significativa nas capacidades dos infostealers, tornando-os uma ameaça ainda maior para as empresas e usuários individuais.