{
"$type": "site.standard.document",
"bskyPostRef": {
"cid": "bafyreiczi3ymno6ies5fubzs435mgv2heq4msfk375rcajfpdypbj47fke",
"uri": "at://did:plc:ulfbtqn2ybcgbzf27z75qrvu/app.bsky.feed.post/3mnbl7fhzdhb2"
},
"coverImage": {
"$type": "blob",
"ref": {
"$link": "bafkreiacxqbcsigfqcmyodkltpdmq5qeiubfo42dq4xmpls3blwrbnmz7q"
},
"mimeType": "image/jpeg",
"size": 123645
},
"path": "/seguranca/413566-hackers-usam-e-mail-falso-de-compra-para-roubar-senhas-com-o-purelogs.htm",
"publishedAt": "2026-06-02T01:00:00.000Z",
"site": "https://www.tecmundo.com.br",
"tags": [
"Segurança",
"nossa newsletter",
"canal do YouTube."
],
"textContent": "Pesquisadores da Fortinet descobriram uma campanha de phishing em andamento que usa pedidos de compra falsos para invadir computadores com Windows e instalar o PureLogs, um programa especializado em roubar senhas, carteiras de criptomoedas e dados bancários.\n\nO ataque começa em uma etapa simples. A vítima recebe um e-mail com um arquivo compactado chamado \"PO 2026-P0803.rar\" anexado, que aparenta ser um pedido de compra legítimo. Ao abrir o arquivo, um script escondido é executado automaticamente em segundo plano.\n\nEsse script aciona o PowerShell, ferramenta nativa do Windows usada por administradores de sistema para executar comandos, e usa essa abertura para baixar e rodar um código malicioso sem que o usuário perceba nada.\n\nO PureLogs rouba senhas, cookies e dados bancários de navegadores como Chrome, Firefox e Edge.\n\n## O truque para não ser detectado\n\nA parte mais sofisticada do ataque é uma técnica chamada process hollowing, ou \"esvaziamento de processo\" em tradução literal. Basicamente, o malware sequestra um programa legítimo e confiável do Windows para se esconder dentro dele.\n\nNo caso desta campanha, o programa escolhido é o MsBuild.exe, um componente oficial do sistema usado no desenvolvimento de software. O Windows confia completamente nele, o que dificulta que antivírus e ferramentas de segurança identifiquem algo errado.\n\nO processo funciona assim. O malware abre o MsBuild.exe em estado pausado, esvazia a memória do programa, insere o próprio código no espaço vazio e retoma a execução. Para o sistema operacional, tudo parece normal.\n\nCampanha identificada pela Fortinet usa e-mail falso de pedido de compra para invadir computadores com Windows.\n\n## Módulos baixados sob demanda\n\nUma vez ativo dentro do MsBuild.exe, o código malicioso extrai um módulo interno chamado Iwnflr.exe. Esse módulo tem uma função específica, conectar o computador infectado a um servidor remoto controlado pelos atacantes.\n\nA conexão é feita com o servidor no endereço 77.83.39.211 pela porta 8443. O código primeiro envia uma requisição para confirmar que o servidor está ativo e, em seguida, baixa o PureLogs diretamente na memória do computador, sem salvar nenhum arquivo no disco rígido.\n\nIsso é relevante porque a maioria dos antivírus monitora arquivos gravados no disco. Como o PureLogs roda apenas na memória, ele não deixa rastros físicos no HD.\n\nMalware é ativado quando a vítima abre um arquivo .rar anexado a um e-mail de phishing.\n\n## O que o malware rouba\n\nCom o PureLogs ativo, o roubo de dados começa de forma abrangente. O programa vasculha navegadores como Chrome, Firefox, Brave, Vivaldi e Edge em busca de senhas salvas, histórico de navegação e cookies de sessão.\n\nCarteiras de criptomoedas também estão na mira, entre elas Bitcoin Core, Dogecoin Core, Litecoin Core, Exodus e Atomic Wallet. O malware tenta acessar chaves privadas e o histórico de transações armazenados localmente. Além disso, o PureLogs coleta tokens de autenticação do Discord, senhas de clientes de e-mail como Outlook e credenciais de ferramentas de VPN como ProtonVPN e OpenVPN.\n\n## Como os dados chegam aos criminosos\n\nAntes de enviar tudo, o malware organiza o pacote de informações roubadas. Ele inclui uma captura de tela da área de trabalho, dados do sistema, conteúdo do clipboard e o nome de usuário da máquina.\n\nPureLogs se esconde dentro de processo legítimo do Windows para evitar detecção por antivírus.\n\nEsse conjunto é comprimido e criptografado com AES, um algoritmo de criptografia robusto, para evitar que ferramentas de segurança detectem os dados em trânsito. O pacote final é enviado de volta ao servidor dos atacantes via requisições HTTP.\n\nA boa notícia é que os filtros de e-mail da própria Fortinet conseguiram identificar as mensagens maliciosas e marcar o assunto como \"vírus detectado\". Isso impedia que os anexos chegassem às caixas de entrada dos usuários monitorados.\n\n## Como se proteger\n\nOs pesquisadores recomendam que empresas reforcem os filtros de e-mail, desativem a execução de scripts desnecessários no ambiente corporativo e monitorem atividades fora do padrão no PowerShell.\n\nApós a infecção, o malware acessa navegadores, carteiras de criptomoedas, VPNs e clientes de e-mail simultaneamente.\n\nPara usuários comuns, a orientação principal é desconfiar de qualquer e-mail com arquivo anexado que não foi solicitado, mesmo que o remetente pareça ser um fornecedor ou parceiro comercial conhecido.\n\nAcompanhe o TecMundo nas redes sociais. Inscreva-se em nossa newsletter e canal do YouTube.",
"title": "Hackers usam e-mail falso de compra para roubar senhas com o PureLogs"
}