Segundo uma pesquisa recente na área de cibersegurança, está sendo monitorada uma campanha avançada que tem como alvo a indústria de Petróleo e Gás. Esta campanha se destaca por distribuir um tipo de malware de roubo de informações, conhecido como serviço de infostealer, que, apesar de pouco comum, é bastante avançado.

Este novo e sofisticado ataque de phishing faz uso de um serviço de Malware-as-a-Service (MaaS) que foi atualizado recentemente, logo após a desativação de um dos grupos de ransomware mais ativos identificados por serviços de Ransomware-as-a-Service (RaaS). A campanha inicia com um e-mail de phishing que utiliza um relatório de incidente veicular como isca, incentivando as vítimas a clicarem em um link embutido.

Este link explora um redirecionamento aberto em um domínio legítimo, com redirecionamentos múltiplos até que o usuário chegue a um arquivo PDF interativo hospedado em um domínio recém-registrado. O PDF contém uma imagem clicável que direciona para um repositório onde é possível baixar um arquivo ZIP.

Dentro deste arquivo, encontra-se um executável do malware de roubo de informações. Quando a vítima interage com o executável, o malware é ativado e estabelece uma conexão com um servidor de comando e controle (C2) para coletar informações sensíveis, como credenciais e carteiras de criptomoedas.