Especialistas em segurança cibernética detectaram uma nova campanha de phishing que usa o malware Remcos RAT (Remote Access Trojan) em uma variante sem arquivo, dificultando a detecção e permitindo o controle remoto de dispositivos infectados. Esse ataque começa com um e-mail de phishing que simula uma solicitação de compra, instigando o usuário a abrir um anexo do Excel. O arquivo explora uma vulnerabilidade no Microsoft Office (CVE-2017-0199) para baixar um arquivo de aplicação HTML (HTA), que então desencadeia uma série de códigos em JavaScript, Visual Basic Script e PowerShell, ocultando suas ações maliciosas.
O malware utiliza uma técnica chamada “esvaziamento de processo” para injetar o Remcos RAT diretamente na memória, evitando que seja salvo no sistema como um arquivo visível. Uma vez ativado, o Remcos RAT pode extrair informações do sistema, acessar arquivos, manipular serviços e até mesmo controlar a câmera e o microfone do dispositivo infectado, tudo sob o comando de um servidor remoto.
Paralelamente, outro vetor de ataque tem abusado da plataforma DocuSign, uma ferramenta confiável para assinaturas eletrônicas. Criminosos criam contas legítimas para enviar faturas falsas que aparentam autenticidade, utilizando modelos personalizados e APIs da DocuSign. Este método permite que o golpe se passe por empresas respeitáveis e engane tanto os usuários quanto sistemas de segurança.
Além disso, uma nova técnica de concatenação de arquivos ZIP tem sido explorada para disseminar malware, aproveitando diferenças entre programas de extração, como 7-Zip e WinRAR, que processam múltiplos arquivos ZIP anexados de forma diferente. Esse método permite que o conteúdo malicioso seja ignorado por certos programas de descompactação, facilitando o ataque contra alvos específicos.
Outro exemplo recente envolve o uso do MetaStealer, uma versão do malware RedLine Stealer, associado ao grupo Venture Wolf, que tem como alvo setores de manufatura, construção, TI e telecomunicações na Rússia.
Essas abordagens sofisticadas revelam um avanço nos métodos de phishing e malware, que buscam explorar brechas tecnológicas e enganar sistemas de segurança e usuários ao se disfarçarem em plataformas confiáveis.