Pesquisadores da Microsoft identificaram uma campanha de phishing sofisticada que utiliza arquivos de ajuda do Windows (.chm) como vetor de infecção. A técnica explora a capacidade desses arquivos de incorporar código HTML ativo e scripts, permitindo execução automática de comandos assim que o usuário abre o arquivo. Os atacantes estão disfarçando os arquivos como documentos de políticas internas, instruções de TI ou atualizações administrativas.

As mensagens chegam via e-mail com remetentes falsificados e induzem o destinatário a abrir o arquivo para visualizar supostas informações urgentes. Quando o arquivo .chm é aberto, um script malicioso é executado silenciosamente, instalando o malware “DarkGate”, conhecido por sua capacidade de espionagem, keylogging, exfiltração de arquivos e controle remoto da máquina. A campanha visa principalmente empresas de médio porte nos setores financeiro, jurídico e educacional.

A Microsoft destaca que o uso de arquivos CHM é especialmente perigoso por serem tratados como conteúdo confiável pelo sistema, o que permite contornar algumas proteções de segurança. Além disso, o conteúdo embutido pode simular a interface de documentos legítimos. Os atacantes também utilizam links encurtados e servidores de hospedagem comprometidos para dificultar a detecção da origem do ataque. As campanhas têm origem na América Latina, mas já foram identificadas ocorrências nos Estados Unidos e Europa.