- Campanha atribuída ao cluster UAC-0247 passou a mirar hospitais, clínicas de emergência e órgãos governamentais, com malware voltado ao roubo de dados de navegadores baseados em Chromium e do WhatsApp, entre março e abril de 2026.
- A infecção começa com e-mails que se apresentam como propostas de ajuda humanitária, levando a um link que redireciona para site comprometido ou página falsa que incentiva o download de um arquivo malicioso.
- O arquivo baixado é um atalho do Windows (link), que aciona o utilitário mshta.exe para executar um arquivo HTA remoto, enquanto uma página de isca distrai o usuário; em segundo plano, o sistema busca componentes adicionais para manter a infecção.
- Entre as ferramentas utilizadas estão o backdoor Ravenshell e a família de malware Agingfly, que permitem receber comandos, atualizar a configuração e localizar o servidor de comando e controle.
- Investigações indicam reconhecimento interno, deslocamento lateral entre sistemas e exfiltração de dados sensíveis, com foco em credenciais, sessões ativas e histórico de comunicação para sustentar novas intrusões.
O grupo atribuído ao cluster UAC-0247 ampliou seus ataques contra hospitais, clínicas de emergência e órgãos governamentais com malware voltado ao roubo de dados de navegadores baseados em Chromium e do WhatsApp. A campanha foi registrada entre março e abril de 2026, destacando-se pela segmentação de instituições sensíveis e pela combinação de espionagem, movimentação lateral e coleta de credenciais.
Entre os-alvos estão instituições de saúde e órgãos públicos, com foco em dados de autenticação, sessões ativas e histórico de comunicação. O objetivo aparente é sustentar futuras intrusões e facilitar novas invasões, ampliando o alcance da operação.
Modo de ataque
Os agentes iniciam a cadeia por meio de e-mails que simulam propostas de ajuda humanitária. Ao clicar em um link, a vítima chega a um site comprometido ou a uma página falsa que incentiva o download de um arquivo malicioso. O arquivo funciona como atalho do Windows (LNK) e, ao ser aberto, aciona o mshta.exe para executar um HTA remoto.
Paralelamente, uma página de isca distrai o usuário enquanto o sistema busca componentes adicionais para manter a infecção e estabelecer comunicação com a infraestrutura dos invasores. Entre as ferramentas empregadas estão o backdoor Ravenshell e a família AGINGFLY, utilizados para receber comandos, atualizar configurações e localizar o servidor de comando e controle.
Desdobramentos e risco operacional
As investigações indicam que os operadores não se limitam à coleta inicial de informações. Houve reconhecimento interno da rede, deslocamento entre sistemas e exfiltração de dados sensíveis, elevando o risco de interrupções operacionais em ambientes de saúde e administração pública.
O foco em navegadores e no WhatsApp aponta para interesse em credenciais, sessões ativas, histórico de comunicação e dados operacionais que podem apoiar novas intrusões. A atuação conjunta de espionagem, exfiltração e movimentação lateral evidencia uma campanha complexa de longo alcance.
Entre na conversa da comunidade