Veil#Drop utiliza Blogspot para disseminar malware

Campanha Veil#Drop utiliza Blogspot para hospedar malware fileless e roubar credenciais corporativas sem ser detectada. Entenda o funcionamento.

07/07/2026 16:51

4 min

Veil#Drop usa Blogspot como isca digital para distribuir malware e expor riscos de segurança em ambientes corporativos.
Veil#Drop usa Blogspot como isca digital para distribuir malware...

Nova Campanha de Malware Veil#Drop Ameaça Segurança Corporativa

Pesquisadores da Securonix descobriram uma nova campanha de malware chamada Veil#Drop, que utiliza páginas do Google Blogspot para disseminar o infostealer PureLog Stealer, visando alvos corporativos. A infecção se inicia com um arquivo JavaScript disfarçado de PDF, que é executado silenciosamente pelo Windows, resultando no roubo de credenciais, cookies, sessões e dados de carteiras de criptomoedas, tudo sem deixar rastros visíveis ao usuário.

A campanha combina engenharia social e carregadores JavaScript maliciosos, aproveitando a infraestrutura legítima do Google para contornar as defesas corporativas. O PureLog Stealer é capaz de extrair informações sensíveis de forma discreta, tornando a detecção ainda mais desafiadora para as equipes de segurança.

Como o Veil#Drop Enganou as Defesas Tradicionais

O ataque inicia-se com um arquivo com um nome enganoso, como transcript.pdf.js, que oculta sua extensão real. Ao ser aberto, o arquivo é executado pelo Windows Script Host, disparando um processo PowerShell que ignora as políticas de execução da máquina.

O Veil#Drop, então, busca os payloads de segundo estágio, que estão hospedados em páginas do Blogspot controladas pelos atacantes. Essa estratégia permite que o tráfego malicioso se misture ao tráfego legítimo, dificultando a detecção por soluções de segurança baseadas em reputação de domínio.

Os payloads são assemblies .NET codificados em XOR, que são descriptografados e reconstruídos em memória, evitando análises estáticas e frustrando ferramentas de segurança tradicionais.

Leia também

Sete Binários da Microsoft Usados como Armas

O Veil#Drop se destaca pelo uso de LOLBINs, que são binários legítimos da Microsoft utilizados como vetores de execução. A campanha emprega pelo menos sete dessas ferramentas, aproveitando a confiança que as organizações já depositam nelas.

Essa abordagem é estratégica, pois as políticas de allowlist e soluções de controle de aplicações geralmente bloqueiam softwares desconhecidos. Ao operar dentro de binários assinados pela Microsoft, o malware se beneficia da confiança implícita, permitindo que o ataque ocorra sem violar as regras de segurança.

Além disso, o malware aplica mutação de código em tempo de execução, alterando seu comportamento a cada execução e dificultando a criação de assinaturas eficazes por parte dos fornecedores de segurança.

O que o PureLog Stealer Coleta e para Onde os Dados Vão

Uma vez instalado, o PureLog Stealer opera sem causar qualquer impacto visível ao usuário, coletando dados de forma metódica. Os alvos incluem navegadores como Chrome, Edge, Firefox, Brave e Opera, de onde são extraídas credenciais, cookies de sessão e tokens de autenticação.

O infostealer também mira carteiras de criptomoedas, como MetaMask e Trust Wallet, além de aplicativos de mensagens, clientes de e-mail e gerenciadores de senhas. Esses dados podem proporcionar acesso a sistemas internos e comunicações executivas em um ambiente corporativo.

Todos os dados coletados são criptografados antes de serem enviados para servidores de comando e controle, permitindo que a exfiltração ocorra de forma silenciosa e contínua, com infecções podendo permanecer ativas por longos períodos sem serem detectadas.

Risco Real para Líderes de TI e Cibersegurança

Para os líderes de TI e CISOs, o Veil#Drop representa uma ameaça significativa, pois pode ser um vetor de acesso inicial que leva a incidentes mais graves. Credenciais corporativas roubadas alimentam ataques de ransomware e operações de espionagem, tornando a segurança das informações ainda mais crítica.

O aumento no número de vulnerabilidades e a sofisticação das técnicas de evasão utilizadas pelos atacantes, como a escolha do Blogspot para hospedagem, evidenciam a necessidade de uma revisão nas estratégias de defesa corporativa.

As recomendações para as equipes de segurança incluem monitoramento rigoroso de execuções iniciadas por wscript.exe e PowerShell, inspeção de chamadas a LOLBINs em contextos incomuns e adoção de soluções de detecção comportamental. Treinamentos de conscientização sobre arquivos com extensões ocultas também são essenciais para reduzir a taxa de sucesso de ataques de engenharia social.

O Veil#Drop serve como um alerta de que até mesmo infraestruturas confiáveis podem se tornar vetores de ataque, exigindo uma abordagem crítica em relação à confiança em plataformas conhecidas.

Fonte por: Its Show

Autor(a):

Portal de notícias e informações atualizadas do Brasil e do mundo. Acompanhe as principais notícias em tempo real

CONTINUA DEPOIS DA PUBLICIDADE

Ative nossas Notificações

Ative nossas Notificações

Fique por dentro das últimas notícias em tempo real!