O grupo cibercriminoso conhecido como Sapphire Werewolf está utilizando uma nova versão do malware Amethyst Stealer para atacar empresas do setor de energia, com uma campanha de phishing altamente direcionada. A operação se inicia com um e-mail fraudulento, aparentemente vindo do departamento de RH, contendo um anexo em formato .rar chamado “Служебная записка .rar” (em russo, “memorando interno”). Dentro do arquivo está um executável disfarçado de documento PDF, “Служебная записка .exe”, programado em C# e protegido com .NET Reactor.

Na prática, o arquivo funciona como carregador de malware. A nova versão do Amethyst apresenta aprimoramentos sofisticados voltados à evasão de sistemas de segurança. Ela incorpora detecção de ambientes virtuais, examinando desde arquivos e chaves de registro até características do hardware e serviços em execução. Além disso, utiliza criptografia Triple DES para ofuscar quase todas as strings utilizadas internamente, dificultando sua análise.

Quanto às funções maliciosas, o stealer é projetado para roubar credenciais armazenadas em aplicativos como Telegram, navegadores populares (Chrome, Edge, Brave, Yandex e outros), clientes SSH, FileZilla, RDP e VPNs. Os dados são armazenados e comprimidos em uma pasta específica e, em seguida, enviados para um servidor de comando e controle, acompanhados do IP da vítima e de uma indicação sobre a presença ou não de ambiente virtual. Para enganar o usuário após a infecção, o Amethyst ainda exibe um falso documento em PDF, simulando o memorando prometido. Essa tática visa criar uma falsa sensação de normalidade, impedindo que a vítima suspeite da ação maliciosa.