Atores de Ameaça Exploraram Documentos Judiciais para Distribuir RAT PureHVNC

BR Defense Center (By River de Morais e Silva)
malware

A IBM X-Force identificou uma campanha de phishing coordenada que visou usuários colombianos entre agosto e outubro de 2025. Os atacantes utilizaram comunicações judiciais falsificadas para distribuir o Trojan de Acesso Remoto (RAT) PureHVNC por meio do carregador de malware Hijackloader. Essa campanha é significativa, pois representa a primeira vez que o PureHVNC foi direcionado a usuários de língua espanhola e a primeira campanha do Hijackloader focada especificamente em vítimas da América Latina.

O ataque começa com e-mails de phishing que se passam pelo escritório do Procurador-Geral da Colômbia, alegando que um processo judicial está em andamento. Os destinatários são induzidos a baixar um “documento oficial” através de links de arquivos SVG hospedados no Google Drive. Ao clicar, um arquivo ZIP é extraído, contendo um executável protegido por senha. Após a execução, o malware inicia uma cadeia de infecção em várias etapas, culminando na entrega do PureHVNC.

O payload disfarçado como “02 BOLETA FISCAL.exe” é, na verdade, um arquivo javaw.exe renomeado, que utiliza ataques de DLL side-loading. O Hijackloader implementa técnicas sofisticadas para evitar a detecção, como chamadas de API indiretas e verificações anti-virtualização. A infraestrutura de comando e controle utiliza domínios DuckDNS para a entrega de comandos. A PureHVNC está disponível em fóruns underground, tornando-a acessível a diversos atores de ameaça na América Latina.

Fonte: https://cyberpress.org/purehvnc-rat-2/

⚠️
BR DEFENSE CENTER: SECURITY BRIEFING
29/10/2025 • Risco: ALTO
MALWARE

Atores de Ameaça Exploraram Documentos Judiciais para Distribuir RAT PureHVNC

RESUMO EXECUTIVO
A campanha de phishing que distribui o PureHVNC RAT representa uma ameaça significativa para organizações que operam na América Latina. A utilização de técnicas avançadas de evasão e a exploração de documentos judiciais falsificados aumentam o risco de comprometimento de dados sensíveis. É crucial que as empresas implementem medidas de segurança robustas e monitorem atividades suspeitas.

💼 IMPACTO DE NEGÓCIO

Financeiro
Possíveis custos associados à recuperação de dados e mitigação de danos.
Operacional
Comprometimento de sistemas e acesso não autorizado a informações sensíveis.
Setores vulneráveis
['Setores que lidam com dados sensíveis e comunicações judiciais.']

📊 INDICADORES CHAVE

Primeira entrega do PureHVNC a usuários de língua espanhola. Indicador
Campanha focada em vítimas da América Latina. Contexto BR
Uso de domínios DuckDNS para comando e controle. Urgência

⚡ AÇÕES IMEDIATAS

1 Verificar logs de e-mail para identificar tentativas de phishing.
2 Implementar filtros de e-mail para bloquear mensagens suspeitas.
3 Monitorar tráfego de rede para domínios DuckDNS e atividades relacionadas ao PureHVNC.

🇧🇷 RELEVÂNCIA BRASIL

CISOs devem se preocupar com a evolução das táticas de phishing e malware, especialmente em regiões onde suas organizações podem operar.

⚖️ COMPLIANCE

Implicações legais relacionadas à LGPD e proteção de dados pessoais.
Status
ativo
Verificação
alta
BR Defense Center

Este conteúdo foi processado automaticamente pelo BR Defense Center (By River de Morais e Silva).