Atacantes encontraram uma nova maneira de impulsionar malware ao instrumentalizar uma das ferramentas mais confiáveis do dia a dia — o Google Forms. Uma campanha recém-identificada está explorando iscas de negócios, incluindo entrevistas de emprego falsas, resumos de projetos e documentos financeiros, para entregar um Trojan de Acesso Remoto (RAT) conhecido como PureHVNC nas máquinas das vítimas.
Descoberta e escopo da campanha
O que diferencia esta campanha não é o malware em si, mas o canal incomum que os atacantes escolheram para iniciar a infecção. A campanha começa com um Google Forms convincente criado para se assemelhar a um processo de recrutamento ou negócios real. Esses formulários pedem detalhes profissionais como histórico de trabalho e antecedentes, construindo uma sensação de autenticidade.
Uma vez submetidos, os alvos são direcionados a um arquivo ZIP de tema comercial hospedado em plataformas como Dropbox, filedn.com e fshare.vn, ou através de encurtadores como tr.ee e goo.su que escondem o destino real. Os atacantes também espalham links através do LinkedIn, alcançando profissionais que procuram empregos ou novas oportunidades.
Analistas da Malwarebytes identificaram múltiplas variantes desta campanha e notaram que os atores de ameaça impersonam empresas bem conhecidas nos setores financeiro, logística, tecnologia, sustentabilidade e energia. Os formulários falsos exibem nomes de empresas reais, logotipos e branding, tornando difícil para um usuário comum identificar a fraude.
Os nomes de arquivos de arquivo como "Project_Information_Summary_2026.zip" e "{CompanyName}_GlobalLogistics_Ad_Strategy.zip" mostram o quão deliberada e calculada a decepção realmente é.
Vetor e exploração técnica
PureHVNC é um RAT modular .NET da família de malware "Pure". Uma vez em uma máquina, ele dá aos atacantes controle remoto total, permitindo que executem comandos, roubem dados de navegadores, carteiras de criptomoedas e aplicativos de mensagens como Telegram e Foxmail, coletem informações de hardware e software e instalem plugins adicionais.
Sua configuração é codificada em base64 e compactada com GZIP, com o servidor C2 identificado no IP 207.148.66.14 alcançável nas portas 56001, 56002 e 56003. O alcance da campanha é amplo, atingindo indústrias onde o compartilhamento de documentos é rotina e os profissionais frequentemente recebem arquivos de contatos externos, tornando um anexo malicioso difícil de detectar.
Mecanismo de infecção multiestágio
A cadeia de infecção por trás do PureHVNC é em camadas e deliberada, construída para evitar a detecção em cada etapa. Uma vez que uma vítima extrai o ZIP baixado, ela encontra documentos relacionados ao trabalho junto com um executável oculto e uma DLL chamada msimg32.dll.
Essa DLL executa através de DLL hijacking, enganando um aplicativo legítimo para carregar o código malicioso sem levantar alertas óbvios. Uma vez em execução, a DLL decodifica strings através de XOR com a chave "4B" e verifica ambientes de análise usando IsDebuggerPresent() e time64().
Se atividade de sandbox ou depuração for encontrada, o malware mostra o erro "This software has expired or debugger detected" e para. A DLL então se remove do disco, solta um PDF falso para manter a vítima ocupada e adiciona uma entrada de registro em CurrentVersion\Run\Miroupdate para persistência inicial.
Persistência e injeção de shellcode
Na próxima etapa, um arquivo oculto chamado final.zip é extraído em uma pasta aleatória dentro do ProgramData. Um script Python ofuscado — chamado config.log ou image.mp3 dependendo da variante — decodifica e lança shellcode Donut na memória.
O shellcode injeta o PureHVNC no SearchUI.exe, um processo legítimo do Windows. Para manter o acesso, o malware cria uma tarefa agendada através de um comando PowerShell codificado em base64 no nível mais alto de privilégio quando os direitos de administrador estão presentes, deixando o mutex "Rluukgz" no host como um marcador.
Medidas de mitigação recomendadas
Usuários e organizações devem tomar as seguintes etapas para reduzir a exposição a esta campanha. Sempre verifique a fonte de um Google Forms antes de enviar qualquer informação ou baixar arquivos vinculados. Confirme ofertas de emprego inesperadas ou solicitações de projeto através de sites oficiais da empresa e contatos conhecidos.
Evite seguir links escondidos atrás de encurtadores de URL sem primeiro confirmar para onde eles levam. Equipes de segurança devem observar cargas de DLL incomuns, criação de tarefas PowerShell codificadas e injeção de processo no SearchUI.exe.
As defesas de endpoint devem ser mantidas atualizadas para sinalizar processos Python executando inesperadamente dentro de diretórios de ProgramData.
O que os CISOs devem fazer imediatamente
A segurança deve focar na verificação de fontes externas e no monitoramento de processos anômalos. A detecção de DLLs carregadas de locais suspeitos e scripts Python rodando em pastas de sistema é crucial. A implementação de restrições de execução de PowerShell e o monitoramento de conexões de saída para IPs conhecidos de C2 são essenciais para conter a propagação.
Perguntas frequentes
Os atacantes visam apenas empresas de tecnologia? Não, eles visam setores financeiros, logística, tecnologia, sustentabilidade e energia. O PureHVNC é novo? É uma variante da família "Pure", mas o vetor de entrega via Google Forms é uma novidade nesta campanha.