Pesquisadores do AhnLab Security Intelligence Center (ASEC) identificaram uma campanha de phishing que usa supostos relatórios de desempenho de funcionários, datados de outubro de 2025, para distribuir o malware Guloader em ambientes corporativos. As mensagens mencionam possíveis demissões para criar senso de urgência, explorando a confiança em comunicações internas de RH e aumentando a chance de que usuários abram anexos sem a devida verificação.
Anexo RAR com executável disfarçado de PDF
Nos casos analisados, o e‑mail traz um anexo em formato RAR contendo um instalador NSIS nomeado “staff record pdf.exe”, cuidadosamente mascarado para se passar por um documento PDF. Em sistemas Windows onde a exibição de extensões está desabilitada, o arquivo aparece apenas como “staff record pdf”, o que facilita que usuários menos técnicos o executem acreditando tratar-se de um relatório comum.
Cadeia de infecção multiestágio via Guloader
Ao ser executado, o binário inicia um processo multiestágio típico do Guloader, conectando-se a um servidor remoto e baixando shellcode criptografado hospedado em um link do Google Drive antes de carregá-lo diretamente na memória. Essa execução em memória, sem gravação de payloads intermediários em disco, reduz a eficácia de soluções tradicionais baseadas apenas em varredura de arquivos, contribuindo para a evasão de mecanismos antivírus e de sandbox.
Entrega do Remcos RAT e capacidades de controle remoto
O estágio final observado na campanha é o Remcos RAT, um trojan de acesso remoto que oferece aos invasores funções de keylogging, captura de tela, controle de webcam e microfone, além de extração de históricos de navegação e senhas armazenadas. O Remcos se comunica com servidores de comando e controle no endereço 196.251.116[.]219, utilizando as portas 2404 e 5000 para manter uma conexão persistente e permitir o controle contínuo dos sistemas comprometidos.






