- Fortinet identificou campanha de phishing em andamento que usa e-mails com pedido de compra falso para instalar o PureLogs em PCs com Windows e roubar senhas, cookies e dados de carteiras de criptomoedas, sem deixar rastros no disco.
- Ao abrir o anexo “PO 2026-P0803.rar”, um script é executado automaticamente e aciona o PowerShell para baixar e rodar código malicioso sem o conhecimento da vítima.
- O malware utiliza a técnica de process hollowing, substituindo o MsBuild.exe legítimo do Windows pelo código malicioso para disfarçar a atividade.
- Dentro do MsBuild.exe, o código lança o módulo Iwnflr.exe que se conecta a um servidor remoto no endereço 77.83.39.211 pela porta 8443 e carrega o PureLogs na memória.
- O PureLogs coleta senhas, cookies e dados de navegadores, além de chaves privadas de carteiras, tokens de aplicativos como Discord e credenciais de VPN e e-mail, enviando o pacote criptografado por AES ao servidor dos atacantes.
- (Recomendação) Filtros de e-mail devem ser reforçados, a execução de scripts desnecessários deve ser desativada e atividades incomuns no PowerShell devem ser monitoradas; usuários devem desconfiar de anexos não solicitados.
O phishing ativo identificado pela Fortinet envolve o envio de pedidos de compra falsos para comprometer computadores com Windows. A vítima recebe um e-mail com um anexo chamado PO 2026-P0803.rar, que parece legítimo, e ao abrir ativa um script malicioso em segundo plano. A primeira etapa utiliza o PowerShell para baixar e executar código sem que o usuário perceba.
O malware emprega uma técnica de esvaziamento de processo para se ocultar. Ele sequestra o MsBuild.exe, processo legítimo do Windows, injeta o próprio código e continua a execução sob aparência normal do sistema, dificultando a detecção por antivírus.
A partir dessa operação, o código malicioso gera o módulo interno Iwnflr.exe, que estabelece conexão com um servidor remoto localizado em 77.83.39.211 pela porta 8443. A partir daí, o PureLogs é carregado na memória, sem gravar no disco, para evitar rastros.
Como funciona o roubo de dados
O PureLogs varre navegadores como Chrome, Firefox, Brave, Vivaldi e Edge em busca de senhas, cookies e dados de sessão. Também mira carteiras de criptomoedas, incluindo Bitcoin Core, Dogecoin Core, Litecoin Core, Exodus e Atomic Wallet, além de tokens do Discord, credenciais de Outlook e de VPNs como ProtonVPN e OpenVPN.
A coleta envolve capturas de tela, dados do sistema, conteúdo do clipboard e o nome de usuário. Esses itens são comprimidos e criptografados com AES antes de serem enviados ao servidor dos atacantes por meio de requisições HTTP.
Proteção e recomendações
Especialistas sugerem reforçar filtros de e-mail, desativar a execução de scripts desnecessários e monitorar atividades fora do padrão no PowerShell. Usuários comuns devem desconfiar de anexos não solicitados, mesmo de remetentes familiares.
Entre na conversa da comunidade