PureLogs: malware exfiltra senhas e criptomoedas por meio de e-mail falso no Windows

Pesquisadores da Fortinet identificaram uma campanha de phishing ativa que usa falsos pedidos de compra para comprometer computadores com Windows e instalar o PureLogs, um malware especializado em capturar senhas, carteiras de criptomoedas e informações bancárias.

O ataque se inicia de forma simples: a vítima recebe um e-mail com um arquivo compactado nomeado “PO 2026-P0803.rar” em anexo, que simula ser um pedido de compra legítimo. Ao extrair ou abrir o arquivo, um script oculto é executado automaticamente em segundo plano.

O script invoca o PowerShell — ferramenta nativa do Windows usada por administradores — e aproveita essa execução para baixar e iniciar um código malicioso sem que o usuário note qualquer anomalia.

O truque para não ser detectado

A técnica mais sofisticada empregada é o process hollowing, conhecido em português como “esvaziamento de processo”. Nela, o malware ocupa um processo legítimo do Windows para se ocultar.

Nesta campanha, o alvo é o MsBuild.exe, um componente oficial usado no desenvolvimento de software. Como o sistema confia nesse executável, fica mais difícil para antivírus e soluções de segurança perceberem a intrusão.

O procedimento acontece assim: o malware inicia o MsBuild.exe em estado suspenso, limpa a memória do processo, injeta seu próprio código no espaço liberado e retoma a execução. Para o sistema, tudo aparenta ser um processo legítimo.

Módulos baixados sob demanda

Com o código em execução dentro do MsBuild.exe, ele descompacta um módulo interno chamado Iwnflr.exe. Esse componente tem a função de estabelecer comunicação entre a máquina comprometida e um servidor remoto controlado pelos invasores.

A conexão é feita ao servidor no endereço 77.83.39.211 pela porta 8443. Primeiro o código verifica se o servidor está ativo e, em seguida, carrega o PureLogs diretamente na memória do sistema, sem gravar arquivos no disco rígido.

Isso é significativo porque muitos antivírus monitoram arquivos escritos no disco. Como o PureLogs opera somente em memória, ele não deixa vestígios físicos no HD.

O que o malware rouba

Com o PureLogs em execução, a coleta de informações é ampla. O software vasculha navegadores como Chrome, Firefox, Brave, Vivaldi e Edge em busca de senhas salvas, histórico e cookies de sessão.

Carteiras de criptomoedas também são visadas, incluindo Bitcoin Core, Dogecoin Core, Litecoin Core, Exodus e Atomic Wallet. O malware tenta extrair chaves privadas e registros de transações guardados localmente. Além disso, o PureLogs captura tokens de autenticação do Discord, credenciais de clientes de e-mail como Outlook e logins de serviços VPN, como ProtonVPN e OpenVPN.

Como os dados chegam aos criminosos

Antes do envio, o malware organiza os itens coletados em um pacote. Ele inclui uma captura de tela da área de trabalho, informações do sistema, conteúdo da área de transferência (clipboard) e o nome do usuário da máquina.

O conjunto é comprimido e criptografado com AES, um algoritmo robusto, para dificultar a inspeção por ferramentas de segurança durante a transmissão. Em seguida, o pacote é enviado ao servidor dos atacantes via requisições HTTP.

Uma boa notícia é que os filtros de e-mail da própria Fortinet conseguiram identificar as mensagens maliciosas e rotular o assunto como “vírus detectado”, impedindo que os anexos chegassem às caixas de entrada dos usuários monitorados.

Como se proteger

Os pesquisadores recomendam que organizações reforcem os filtros de e-mail, bloqueiem a execução de scripts desnecessários no ambiente corporativo e monitorem atividades incomuns no PowerShell.

Para usuários domésticos, a orientação principal é desconfiar de qualquer e-mail com anexo não solicitado, mesmo que o remetente pareça ser um fornecedor ou parceiro conhecido.

Acompanhe o TecMundo nas redes sociais. Inscreva-se em nossa newsletter e canal do YouTube.