A Netskope identificou uma campanha de cibercrime que utiliza um subdomínio brasileiro com extensão “.adv.br” como parte da infraestrutura de ataques voltados ao roubo de credenciais e informações sensíveis. A descoberta foi realizada pelo Netskope Threat Labs, divisão de pesquisa de ameaças da empresa.
Segundo os pesquisadores, a operação utiliza um instalador falso do OpenClaw para distribuir o malware Hologram, desenvolvido para capturar senhas, cookies de sessão, carteiras digitais, gerenciadores de senha e dados de autenticação.
Campanha utiliza estrutura semelhante à de software corporativo
De acordo com a análise, a operação criminosa apresenta uma estrutura modular e organizada, com mecanismos de atualização remota, integração com serviços legítimos e técnicas para dificultar a detecção por ferramentas de segurança.
Os pesquisadores afirmam que o modelo utilizado pelos criminosos funciona de forma semelhante a um projeto de software, permitindo escalabilidade, adaptação e continuidade das campanhas mesmo após bloqueios.
Subdomínio brasileiro integra cadeia de ataque
Um dos principais pontos destacados pela Netskope é o uso de um subdomínio associado a um domínio brasileiro com extensão “.adv.br”, normalmente utilizada por escritórios de advocacia.
Segundo a empresa, há indícios de que o domínio legítimo tenha sido comprometido e explorado por terceiros maliciosos, sem participação intencional da organização proprietária.
A companhia alerta que o caso demonstra como infraestruturas legítimas podem ser utilizadas em campanhas globais de cibercrime para hospedagem, redirecionamento e comunicação de componentes maliciosos.
Serviços conhecidos ajudam a ocultar atividade criminosa
A campanha também utilizou plataformas legítimas, como Telegram, Azure DevOps e Hookdeck, para apoiar a operação criminosa.
Segundo os pesquisadores, essa estratégia dificulta a identificação das ameaças, já que parte das comunicações maliciosas pode se misturar ao tráfego legítimo utilizado no ambiente corporativo.
O malware também tenta identificar se está sendo executado em ambientes de análise de segurança, como sandboxes e máquinas virtuais, além de aguardar interações humanas antes de ativar determinadas funções, dificultando análises automatizadas.
Navegadores viram alvo de roubo de credenciais
De acordo com o relatório, o Hologram é capaz de atingir centenas de extensões de navegador, incluindo carteiras de criptoativos, autenticadores e gerenciadores de senha.
A Netskope afirma que os navegadores se tornaram alvos estratégicos por concentrarem informações pessoais, profissionais e financeiras dos usuários.
O alerta da empresa reforça a necessidade de baixar softwares apenas de fontes oficiais, desconfiar de links compartilhados fora de canais confiáveis e adotar soluções capazes de detectar comportamentos suspeitos.
