Uma nova campanha de phishing tem chamado atenção de especialistas em segurança por utilizar uma abordagem incomum para disseminar o perigoso malware VenomRAT. Em vez dos tradicionais arquivos executáveis ou documentos infectados, os cibercriminosos estão escondendo o malware dentro de um arquivo de imagem de disco virtual (.vhd), explorando a confiança que muitas ferramentas de segurança ainda depositam nesse formato. A operação começa com um e-mail de phishing, disfarçado como um pedido de compra inofensivo.

Ao abrir o anexo, o usuário não se depara com um documento comum, mas sim com um arquivo .vhd, um tipo de contêiner usado para simular discos rígidos. Ao ser aberto, o sistema trata esse arquivo como uma nova unidade de disco. No entanto, em vez de arquivos legítimos, ele contém um script malicioso projetado para infectar o sistema. Segundo o pesquisador de segurança Prashant Kumar, da Forcepoint, essa técnica é uma forma engenhosa de contornar os mecanismos de detecção. Isso porque arquivos .vhd, normalmente usados em virtualização e imagens de disco, nem sempre são considerados perigosos por soluções antivírus. A análise da Forcepoint revelou que o script dentro do .vhd é altamente ofuscado e programado para realizar uma série de ações nocivas. Ele se replica para garantir persistência, executa comandos via PowerShell, modifica o registro do Windows e adiciona um script malicioso à pasta de inicialização, garantindo que seja ativado sempre que o sistema for reiniciado. Além disso, ele se comunica com servidores remotos por meio do site Pastebin, onde recebe comandos e instruções dos operadores do ataque. O malware VenomRAT também realiza atividades de espionagem digital, como registrar as teclas digitadas pelo usuário e armazenar dados sensíveis em arquivos de configuração. Ele ainda baixa componentes adicionais, incluindo executáveis em .NET, usados para manipular o sistema ou realizar criptografia.