Alerta de Ameaça: Campanha Veil#Drop Emprega PowerShell e Blogspot para Distribuir PureLog Stealer
Aprofundamento CEVIU
Linha do tempo
Campanha ClickFix com suporte MaaS (Malware-as-a-Service) ativa desde o início de 2025.
Novo ataque ClickFix evoluído utiliza Donut shellcode loader para operar em memória.
Campanha global de infostealers via sites WordPress comprometidos e falso Cloudflare CAPTCHA.
Ataque ClickFix emprega malware Node.js via Tor para roubar criptomoedas.
Sites falsos da Anthropic distribuem infostealer fileless com SEO poisoning e mshta.exe.
Campanha Dropping Elephant usa LNK e PowerShell ofuscado, explorando o binário Fondue.exe.
Campanha Veil#Drop utiliza PowerShell e Blogspot para distribuir PureLog Stealer.
Perguntas frequentes
O que é o PureLog Stealer e quais dados ele visa?
O PureLog Stealer é um malware do tipo 'infostealer' baseado em .NET. Ele foi projetado para roubar credenciais de navegadores, cookies, dados de preenchimento automático, histórico de navegação, informações de carteiras de criptomoedas e dados de reconhecimento do sistema da vítima.
Como a campanha Veil#Drop usa o Blogspot para evadir detecção?
Os atacantes utilizam páginas controladas no Blogspot (infraestrutura legítima do Google) para hospedar e distribuir payloads adicionais do malware. Ao usar um domínio confiável, eles misturam o tráfego malicioso com atividades web legítimas, dificultando a detecção por controles de segurança baseados em reputação.
O que significa 'execução fileless' ou 'em memória' no contexto do Veil#Drop?
A execução fileless significa que o malware opera e executa seu código diretamente na memória do sistema, sem gravar arquivos executáveis tradicionais no disco. Isso reduz artefatos forenses e dificulta a detecção por soluções antivírus baseadas em assinatura, que buscam arquivos maliciosos no disco.
O que são LOLBINs e como o Veil#Drop os explora?
LOLBINs (Living Off The Land Binaries) são ferramentas legítimas do sistema operacional, como o InstallUtil, usadas por atacantes para executar ações maliciosas sem levantar suspeitas. O Veil#Drop os explora como mecanismos de fallback para garantir a implantação do payload, contornando soluções de controle de aplicativos e 'allowlisting'.
Links relacionados
Fontes
- securonix.comfonte original
- Categoria
- CEVIU Segurança da Informação
- Publicado
- 07 de julho de 2026
- Editoria
- CEVIU Segurança da Informação
