trojan-malware-cavalo-de-troia.jpg

Campanha entrega Remcos RAT corporativo

Pesquisadores do AhnLab Security Intelligence Center (ASEC) identificaram uma campanha de phishing que usa supostos relatórios de desempenho de funcionários, datados de outubro de 2025, para distribuir o malware Guloader em ambientes corporativos. As mensagens mencionam possíveis demissões para criar senso de urgência, explorando a confiança em comunicações internas de RH e aumentando a chance de que usuários abram anexos sem a devida verificação.​

Anexo RAR com executável disfarçado de PDF

Nos casos analisados, o e‑mail traz um anexo em formato RAR contendo um instalador NSIS nomeado “staff record pdf.exe”, cuidadosamente mascarado para se passar por um documento PDF. Em sistemas Windows onde a exibição de extensões está desabilitada, o arquivo aparece apenas como “staff record pdf”, o que facilita que usuários menos técnicos o executem acreditando tratar-se de um relatório comum.​

Cadeia de infecção multiestágio via Guloader

Ao ser executado, o binário inicia um processo multiestágio típico do Guloader, conectando-se a um servidor remoto e baixando shellcode criptografado hospedado em um link do Google Drive antes de carregá-lo diretamente na memória. Essa execução em memória, sem gravação de payloads intermediários em disco, reduz a eficácia de soluções tradicionais baseadas apenas em varredura de arquivos, contribuindo para a evasão de mecanismos antivírus e de sandbox.​

Entrega do Remcos RAT e capacidades de controle remoto

O estágio final observado na campanha é o Remcos RAT, um trojan de acesso remoto que oferece aos invasores funções de keylogging, captura de tela, controle de webcam e microfone, além de extração de históricos de navegação e senhas armazenadas. O Remcos se comunica com servidores de comando e controle no endereço 196.251.116[.]219, utilizando as portas 2404 e 5000 para manter uma conexão persistente e permitir o controle contínuo dos sistemas comprometidos.