Uma campanha está utilizando arquivos Word e ZIP corrompidos, que passam despercebidos pela maioria dos sistemas de segurança. Esses arquivos evitam detecção ao mascarar seu formato, sendo restaurados por aplicativos nativos como Word e WinRAR. Após a restauração, exibem conteúdos maliciosos, como QR codes com links de phishing. A plataforma ANY.RUN é uma das poucas capazes de analisar esses arquivos, permitindo a restauração em sandbox interativa para identificar atividades maliciosas.

Outro ataque em destaque é o uso do carregador fileless PSLoramyra, que distribui o trojan de acesso remoto Quasar RAT. Utilizando técnicas LoLBaS (Living off the Land), o PSLoramyra carrega scripts maliciosos diretamente na memória, evitando registros no disco físico. Ele injeta o Quasar em processos legítimos, como o RegSvcs.exe, e cria tarefas agendadas para garantir persistência no sistema. Ataques de phishing também têm se aproveitado do Azure Blob Storage, hospedando páginas falsas em subdomínios legítimos (*.blob[.]core[.]windows[.]net).

Esses sites simulam formulários de login, coletando informações do sistema do usuário para parecerem autênticos e exfiltrando credenciais inseridas. Por fim, o Emmenhtal Loader tem facilitado a entrega de malware como Lumma, Amadey e Hijackloader. Ele utiliza uma cadeia de execução complexa que começa com arquivos LNK acionando comandos no PowerShell para carregar payloads criptografados. Após a execução, o malware final infecta o sistema, comprometendo ainda mais a segurança.