Pesquisadores de cibersegurança, descobriram uma nova campanha de ransomware, batizada de XELERA, que está sendo distribuída através de documentos falsos de vagas de emprego no Food Corporation of India (FCI). O ataque, direcionado a candidatos a cargos técnicos no setor governamental, usa phishing altamente sofisticado para enganar vítimas e infectar seus dispositivos com um ransomware baseado em Python. O golpe começa com um documento Word malicioso chamado “FCEI-job-notification.doc”, que contém detalhes aparentemente legítimos sobre vagas de emprego, critérios de elegibilidade e informações sobre exames do FCI.

No entanto, o arquivo esconde código malicioso dentro de OLE Streams. Quando aberto, ele executa um programa disfarçado chamado “jobnotification2025.exe”, que instala o ransomware no sistema da vítima. O XELERA usa o PyInstaller, uma ferramenta frequentemente explorada por hackers para transformar scripts em executáveis independentes, burlando sistemas antivírus. Uma vez em execução, o malware se conecta a um bot do Discord, permitindo que os atacantes controlem remotamente os dispositivos infectados e executem comandos destrutivos.

Os pesquisadores identificaram diversos comandos maliciosos que os hackers podem executar, incluindo desativação do mouse e teclado, crash forçado do sistema (BSOD), renomeação e corrupção de arquivos importantes, além de um efeito estroboscópico para causar desconforto visual nas vítimas. No final do ataque, a vítima é confrontada com uma nota de resgate, exigindo pagamento em Litecoin para restaurar o sistema. Segundo a Seqrite Labs, o endereço de criptomoeda usado já registrou pelo menos 16 transações, indicando que algumas vítimas podem ter cedido à extorsão.