Campanha de malspam usa domínio do Google para distribuir RAT

BR Defense Center (By River de Morais e Silva)
malware

Pesquisadores de cibersegurança identificaram uma nova campanha de malspam que utiliza o domínio DoubleClick do Google para evitar detecções e entregar um trojan de acesso remoto (RAT) chamado DesckVB RAT. Segundo os especialistas da Huntress, a estratégia envolve redirecionar usuários através de uma URL legítima do Google, tornando a abordagem mais difícil de ser detectada por ferramentas de segurança.

O ataque começa quando a vítima abre um arquivo HTML anexado a um e-mail de phishing, que redireciona para uma página maliciosa. A partir daí, um botão de ‘Download PDF’ inicia o download de um arquivo ZIP que contém um loader em JavaScript. Este loader é responsável por executar o RAT, neutralizando controles de segurança e estabelecendo persistência no sistema.

O DesckVB RAT, ativo desde fevereiro de 2026, permite que os atacantes tenham controle total sobre as máquinas infectadas, podendo extrair dados e executar comandos. Além disso, o malware é projetado para evitar detecções, encerrando processos de análise e reiniciando a máquina se necessário. A Huntress recomenda a implementação de políticas de segurança, como a configuração de GPOs no Active Directory e o uso de registros DMARC, DKIM e SPF para mitigar esses riscos.

Fonte: https://thehackernews.com/2026/06/google-doubleclick-abused-in-new.html

⚠️
BR DEFENSE CENTER: SECURITY BRIEFING
03/06/2026 • Risco: ALTO
MALWARE

Campanha de malspam usa domínio do Google para distribuir RAT

RESUMO EXECUTIVO
O uso de técnicas de malspam que exploram domínios legítimos como o Google DoubleClick representa uma nova ameaça para as organizações. A capacidade do DesckVB RAT de neutralizar medidas de segurança e estabelecer persistência torna a situação crítica, exigindo atenção imediata dos líderes de segurança.

💼 IMPACTO DE NEGÓCIO

Financeiro
Possíveis perdas financeiras devido a vazamentos de dados e interrupções operacionais.
Operacional
Controle total sobre máquinas infectadas, extração de dados e execução de comandos.
Setores vulneráveis
['Setor financeiro', 'Setor de tecnologia', 'Setor de saúde']

📊 INDICADORES CHAVE

DesckVB RAT ativo desde fevereiro de 2026. Indicador
Utiliza o domínio DoubleClick para evitar detecções. Contexto BR
Possui capacidade de neutralizar controles de segurança. Urgência

⚡ AÇÕES IMEDIATAS

1 Verificar logs de e-mail em busca de mensagens suspeitas com anexos HTML.
2 Implementar GPOs para abrir arquivos de script em Notepad por padrão.
3 Monitorar atividades de rede para detectar comunicações com servidores C2.

🇧🇷 RELEVÂNCIA BRASIL

CISOs devem se preocupar com a escalabilidade e sofisticação dos ataques, que podem comprometer a segurança de dados sensíveis.

⚖️ COMPLIANCE

Implicações na LGPD, especialmente em relação à proteção de dados pessoais.
Status
ativo
Verificação
alta
BR Defense Center

Este conteúdo foi processado automaticamente pelo BR Defense Center (By River de Morais e Silva).