Criminosos estão escondendo códigos maliciosos em imagens para instalar malwares como VIP Keylogger e 0bj3ctivity Stealer. Essas campanhas começam com e-mails de phishing disfarçados de faturas ou pedidos de compra, que contêm anexos maliciosos, como documentos do Excel. Esses arquivos exploram a vulnerabilidade CVE-2017-11882 no Equation Editor para baixar e executar scripts maliciosos.

Um script PowerShell é executado para baixar uma imagem de archive[.]org, contendo um código Base64 escondido. Esse código é decodificado e convertido em um executável .NET, que funciona como carregador para baixar o VIP Keylogger. Esse malware rouba informações como teclas digitadas, capturas de tela e credenciais. Em uma campanha semelhante, arquivos compactados enviados por e-mail contêm scripts que seguem um fluxo de ataque similar, mas instalam o 0bj3ctivity Stealer, focado em roubo de dados.

A HP Wolf Security identificou também o uso de inteligência artificial generativa (GenAI) para criar ataques mais complexos e dificultar sua detecção. Técnicas como HTML smuggling foram usadas para distribuir o trojan XWorm, enquanto repositórios no GitHub com falsas ferramentas de trapaça para jogos disseminavam o malware Lumma Stealer. Segundo Alex Holland, da HP Security Lab, o aumento de kits de malware prontos para uso está facilitando o cibercrime, permitindo que até iniciantes conduzam ataques eficazes. Com a crescente adoção de GenAI, a escala e sofisticação dos ataques se tornam ainda maiores, desafiando os defensores.