A empresa de cibersegurança Kroll revelou uma campanha de espionagem sofisticada utilizando um malware inédito chamado GONEPOSTAL, atribuído ao grupo de ameaças patrocinado pelo estado russo KTA007, conhecido como Fancy Bear ou APT28. Este malware inova ao usar a funcionalidade de e-mail do Microsoft Outlook como um canal oculto para comunicações de comando e controle (C2).
A arquitetura do GONEPOSTAL é composta por um dropper DLL malicioso e um arquivo VbaProject.OTM protegido por senha, que contém macros do Outlook. O ataque inicia com a execução de um DLL malicioso que se disfarça como uma biblioteca legítima da Microsoft, redirecionando funções para garantir a funcionalidade normal do aplicativo enquanto executa código malicioso.
O malware estabelece persistência e exfiltra informações do usuário através de comandos PowerShell codificados. Além disso, ele manipula valores críticos do registro do Windows para permitir a execução automática de macros, suprimindo avisos de segurança. Através de técnicas de monitoramento de e-mails, o GONEPOSTAL pode receber comandos e exfiltrar dados, representando uma evolução significativa nas táticas do APT28, ao explorar canais de comunicação confiáveis para manter acesso persistente e furtivo.
Fonte: https://cyberpress.org/gonepostal-malware/
⚠️BR DEFENSE CENTER: SECURITY BRIEFING
10/09/2025 • Risco: ALTO
MALWARE
Novo Malware GONEPOSTAL Explora Outlook para Comunicação C2
RESUMO EXECUTIVO
O GONEPOSTAL representa uma ameaça significativa para organizações que utilizam o Outlook, com potencial para comprometer dados sensíveis e violar regulamentos de proteção de dados. A natureza furtiva do malware e sua capacidade de operar através de canais de comunicação confiáveis aumentam o risco de incidentes de segurança.
💼 IMPACTO DE NEGÓCIO
Financeiro
Possíveis perdas financeiras devido à exfiltração de dados e interrupções operacionais.
Operacional
Exfiltração de dados sensíveis e controle remoto do sistema afetado.
Setores vulneráveis
['Setor financeiro', 'Setor de tecnologia da informação', 'Setor governamental']
📊 INDICADORES CHAVE
O malware utiliza técnicas de redirecionamento de DLL para ocultar suas atividades.
Indicador
Suporta quatro tipos principais de comandos para execução e exfiltração de dados.
Contexto BR
Emprega buffers de 3.15 megabytes para transferências de arquivos.
Urgência
⚡ AÇÕES IMEDIATAS
1
Verificar a presença de DLLs não autorizados e macros no Outlook.
2
Desativar a execução automática de macros no Outlook e revisar as configurações de segurança.
3
Monitorar tráfego de e-mail em busca de atividades suspeitas e comandos não autorizados.
🇧🇷 RELEVÂNCIA BRASIL
CISOs devem se preocupar com a exploração de ferramentas comuns como o Outlook, que pode comprometer a segurança organizacional.
⚖️ COMPLIANCE
Implicações para a LGPD, especialmente em relação à proteção de dados pessoais.
Este conteúdo foi processado automaticamente pelo BR Defense Center (By River de Morais e Silva).
