Hackers estão utilizando currículos falsos como isca em campanhas de phishing para comprometer sistemas corporativos, roubar credenciais sensíveis e instalar moradores de criptomoedas. Esse tipo de ataque tem se mostrado altamente eficaz, principalmente em ambientes empresariais.
De acordo com pesquisadores de segurança, a campanha — identificada como FAUX#ELEVATE — está direcionada a empresas, especialmente em regiões francófonas. O ataque utiliza arquivos maliciosos disfarçados de currículos enviados por e-mail, explorando a confiança dos destinatários em processos de recrutamento.
- Leia também: WordPress 2025–2026: Principais Tendências que Vão Transformar o Desenvolvimento Web
- Leia também: Como usar domínios sem cookies para melhorar a velocidade do site
- Leia também: Como alterar o IP principal compartilhado no cPanel & WHM (guia completo)
O vetor inicial consiste em arquivos VBScript altamente ofuscados, que aparentam ser documentos legítimos. Ao serem executados, exibem uma mensagem falsa de erro, sugerindo que o arquivo está corrompido. No entanto, essa mensagem serve apenas como distração, enquanto o código malicioso é executado em segundo plano.
Apesar de conter mais de 224 mil linhas, apenas uma pequena parte do script executa ações reais. O restante é preenchido com comentários irrelevantes, uma técnica usada para dificultar a análise por ferramentas de segurança.
Além disso, o malware realiza verificações para evitar detecção em ambientes de teste (sandboxes). Em seguida, foram repetidas solicitações de privilégio administrativo (UAC), tentando convencer o usuário a conceder acesso elevado ao sistema.
Outro ponto crítico é o uso de técnicas de “living off the land”, ou seja, o abuso de ferramentas e serviços legítimos para executar atividades maliciosas sem levantar suspeitas. Entre os recursos utilizados estão:
- Dropbox, para armazenar arquivos maliciosos
- Sites WordPress comprometidos, usados como servidores de comando e controle (C2)
- Infraestrutura SMTP do mail.ru, utilizada para exfiltrar dados roubados
Após obter privilégios administrativos, o malware age rapidamente. Ele desativa mecanismos de segurança, incluindo o Microsoft Defender, cria exceções em múltiplas unidades do sistema e modifica o Registro do Windows para desativar o controle de conta de usuário.
Em seguida, o script baixar dois arquivos compactados protegidos por senha:
- gmail2.7z: contém ferramentas para roubo de dados e mineração
- gmail_ma.7z: inclui utilitários para persistência e limpeza de rastros
Entre os componentes maliciosos utilizados, destacam-se:
- Scripts para roubo de credenciais de navegadores Chrome e Firefox
- Ferramentas para exfiltração de arquivos da área de trabalho
- Um minerador de criptomoedas baseado no XMRig, focado na moeda Monero
- Um driver legítimo do Windows (WinRing0x64.sys), explorado para aumentar o desempenho da mineração
- Um trojan persistente (RuntimeHost.exe), responsável por manter comunicação com o servidor C2
Um detalhe importante é que o malware só é ativado em máquinas corporativas integradas a domínio. Isso garante maior valor ao ataque, pois os dados obtidos tendem a ser mais sensíveis.
As credenciais coletadas são enviadas por e-mail usando contas controladas pelos atacantes. Após isso, o malware realiza uma limpeza agressiva, removendo a maioria dos vestígios para dificultar investigações forenses.
Todo o processo ocorre de forma extremamente rápida. Segundo os pesquisadores, a cadeia completa de ataque — desde a execução inicial até a exfiltração de dados — pode ser concluída em aproximadamente 25 segundos.
Essa campanha demonstra um nível elevado de sofisticação. Ela combina múltiplas técnicas em uma única operação, incluindo ofuscação, evasão de detecção, abuso de serviços legítimos e execução rápida.
Para empresas, o risco é significativo. Além do roubo de credenciais, os sistemas comprometidos podem ser usados para mineração de criptomoedas e outras atividades maliciosas persistentes.
Esse tipo de ataque reforça a importância de políticas rigorosas de segurança, especialmente no tratamento de anexos recebidos por e-mail. Treinamento de usuários, uso de soluções de detecção avançada e monitoramento contínuo são essenciais para reduzir riscos.
Organizações devem também implementar controles como análise de comportamento, restrição de execução de scripts e autenticação multifator, reduzindo a superfície de ataque e protegendo dados críticos.
Fonte: The Hacker News —https://thehackernews.com/2026/03/hackers-use-fake-resumes-to-steal.html?m=1
Clique aqui e teste por 30 dias grátis nossos serviços de hospedagem de sites
