A Forcepoint, por meio de seu laboratório X-Labs, identificou duas campanhas sofisticadas de ciberataques que contornam mecanismos de defesa tradicionais. Uma delas entrega um Remote Access Trojan (RAT) da família XWorm por meio de shellcode embutido em documentos Office.
A investigação detalha a cadeia do ataque, que começa com um anexo contendo um objeto OLE com shellcode criptografado. Esse código é emulado e executado em memória, permitindo o download de um executável que injeta DLLs ofuscadas e estabelece comunicação com servidores de comando e controle. Entre os indícios técnicos estão chamadas a APIs como UrlDownloadToFile e técnicas de reflective DLL injection, que garantem execução em memória e persistência do malware.
Lumma Stealer explora PDFs hospedados em plataformas confiáveis
Em paralelo, o X-Labs rastreou campanhas do Lumma Stealer que utilizam PDFs hospedados em domínios legítimos para mascarar o ataque. A sequência de nove etapas inclui downloads protegidos por senha e georreferenciamento, dificultando a detecção e direcionando a ação a regiões específicas.
O impacto é significativo, pois credenciais salvas, tokens 2FA e carteiras digitais ficam vulneráveis caso a execução do malware avance.
Recomendações de proteção contra ataques sofisticados
Para reduzir riscos, a Forcepoint recomenda camadas de proteção que combinem análise de comportamento, inspeção de conteúdo mesmo em serviços de terceiros e políticas rígidas de execução de macros e anexos. A empresa reforça ainda a importância de soluções que bloqueiem conexões a servidores de comando e controle conhecidos e atualizem listas de ameaças com IOCs identificados pela equipe.
