sampanews.com
  • Cidades
  • Mundo
  • Política
  • Negócios
  • Esporte
  • Saúde
  • Cultura
  • Tecnologia
  • Auto

O que você está procurando?

Auto Cidades Cultura Economia Esporte Mundo Negócios

Recente

Projeto de lei da preservação de games pode ser votado com urgência e não é “politicagem”, diz criador
14 de julho de 2026
Frio em SP: veja quais cidades registraram as menores temperaturas durante a frente fria
14 de julho de 2026
SUV da Xiaomi tem duas camas e se transforma em sala de estar com bancos que giram
14 de julho de 2026
Novo celular da Hisense tem tela e-ink e painel colorido na traseira
14 de julho de 2026
terça-feira, julho 14, 2026
Top Posts
Projeto de lei da preservação de games pode...
Frio em SP: veja quais cidades registraram as...
SUV da Xiaomi tem duas camas e se...
Novo celular da Hisense tem tela e-ink e...
Postes de energia instalados no meio da rua...
Compra da Warner pela Paramount pode ser bloqueada...
Busca do Windows 11 ganha visual mais limpo...
Estudo alerta para avanço de bactéria em criações...
Recorde de frio: Campinas registra menor temperatura de...
Sony enfrenta processo de US$ 457 milhões que...
sampanews.com
Banner
  • Cidades
  • Mundo
  • Política
  • Negócios
  • Esporte
  • Saúde
  • Cultura
  • Tecnologia
  • Auto

O que você está procurando?

Auto Cidades Cultura Economia Esporte Mundo Negócios

Recente

Projeto de lei da preservação de games pode ser votado com urgência e não é “politicagem”, diz criador
14 de julho de 2026
Frio em SP: veja quais cidades registraram as menores temperaturas durante a frente fria
14 de julho de 2026
SUV da Xiaomi tem duas camas e se transforma em sala de estar com bancos que giram
14 de julho de 2026
Novo celular da Hisense tem tela e-ink e painel colorido na traseira
14 de julho de 2026
sampanews.com

O que você está procurando?

Auto Cidades Cultura Economia Esporte Mundo Negócios

Recente

Projeto de lei da preservação de games pode ser votado com urgência e não é “politicagem”, diz criador
14 de julho de 2026
Frio em SP: veja quais cidades registraram as menores temperaturas durante a frente fria
14 de julho de 2026
SUV da Xiaomi tem duas camas e se transforma em sala de estar com bancos que giram
14 de julho de 2026
Novo celular da Hisense tem tela e-ink e painel colorido na traseira
14 de julho de 2026
sampanews.com
  • Cidades
  • Mundo
  • Política
  • Negócios
  • Esporte
  • Saúde
  • Cultura
  • Tecnologia
  • Auto
Copyright 2026 - Todos os Direitos Reservados

Criminosos usam Facebook para distribuir vírus disfarçado de leitor de PDF

por SampaNews 13 de abril de 2026
13 de abril de 2026
28

O grupo norte-coreano APT37, também rastreado como ScarCruft, foi atribuído a uma campanha de espionagem cibernética. O ataque começa no Facebook e termina com a instalação silenciosa do RokRAT, um trojan de acesso remoto focado em coleta de informações.

A análise da Genians Security Center (GSC), empresa sul-coreana de cibersegurança, mostrou que os operadores criaram duas contas no Facebook — “richardmichael0828” e “johnsonsophia0414” — com localização definida como Pyongyang e Pyongsong, na Coreia do Norte.

smart_display

Nossos vídeos em destaque

Ambas foram criadas no mesmo dia, 10 de novembro de 2025, o que sugere operação coordenada por um único ator ou organização.

Fluxo completo do ataque: o APT37 usa Facebook e Telegram para entregar um instalador adulterado do PDFelement à vítima; o RokRAT instalado exfiltra dados para o Zoho WorkDrive via API OAuth2. Imagem: Genians Security Center.

Pedido de amizade vira vetor de ataque

A tática segue um roteiro de engenharia social em várias etapas. Primeiro, as vítimas recebem pedidos de amizade. Depois de estabelecida uma relação de confiança via Messenger, a conversa migra para o Telegram, onde é entregue um arquivo ZIP chamado “m.zip”.

O pacote contém um executável malicioso disfarçado de leitor de PDF, quatro documentos PDF com títulos militares como isca e um arquivo de instruções em texto.

Os criminosos alegam que os documentos supostamente contém materiais confidenciais sobre armamentos militares. Para fazer a vítima executar o arquivo, eles justificam que os arquivos estão criptografados e exigem um visualizador dedicado para serem abertos. Essa  técnica se chama pretexting, em que o atacante cria um cenário falso para induzir a vítima a executar um programa malicioso.

rokrat (1).png
O arquivo de instruções continha marcadores linguísticos do norte-coreano, como programa e arquivo. Imagem: Genians Security Center.

Instalador adulterado, shellcode embutido

O executável entregue é uma versão adulterada do Wondershare PDFelement, um leitor de PDF legítimo distribuído pela Wondershare. O arquivo original possui assinatura digital válida. A versão maliciosa, renomeada como “Wondershare_PDFelement_Installer(PDF_Security).exe”, não tem assinatura.

Os criminosos mantiveram a função principal do instalador e alteraram apenas o entry point. Isso redireciona a execução para um shellcode de cerca de 2 KB inserido em uma região não utilizada da seção de código. Isso é conhecido como code cave injection ou PE patching.

Quando o programa é executado, o shellcode roda primeiro. Ele cria o processo legítimo do Windows “dism.exe” em estado suspenso, injeta nele um payload descriptografado via XOR e só então retorna o fluxo de execução ao instalador original. Para o usuário, a instalação parece normal. Em segundo plano, o sistema já foi comprometido.

rokrat (2).png
O APT37 adulterou o instalador legítimo do Wondershare PDFelement, mantendo a aparência do programa original para não levantar suspeitas durante a execução. Imagem: Genians Security Center.

C2 disfarçado de imagem JPG

A URL de comando e controle (C2) embutida no shellcode aponta para “japanroom[.]com”, o site da filial em Seul de um serviço japonês de informações imobiliárias. O domínio legítimo foi comprometido e usado como infraestrutura de ataque.

A requisição ao servidor busca um arquivo chamado “1288247428101.jpg” — isso porque a extensão “.jpg” é usada para disfarçar o tráfego malicioso como uma requisição de imagem comum, contornando filtros de URL e monitoramento de rede. O conteúdo real é um payload de segundo estágio criptografado com XOR, executado diretamente na memória sem ser gravado em disco. Essa é uma técnica fileless, que dificulta a detecção por soluções baseadas em análise de arquivos.

RokRAT via Zoho WorkDrive

O payload final é o RokRAT, backdoor consolidado do APT37. Nesta campanha, ele abusa da API OAuth2 do Zoho WorkDrive, plataforma online de armazenamento, gestão e colaboração de arquivos voltada para equipes, como canal de C2. Isso porque o tráfego para serviços de nuvem legítimos é difícil de distinguir de atividade corporativa normal.

rokrat (3).png
Diagrama técnico do shellcode injetado no instalador adulterado: o código malicioso roda antes da instalação legítima, cria o processo “dism.exe” em estado suspenso, injeta o payload via XOR e só então devolve o controle ao instalador original. Imagem: Genians Security Center

As credenciais OAuth2 estão hardcoded no binário. O malware captura screenshots da área de trabalho, executa comandos remotos via “cmd.exe”, coleta nome do computador, versão do Windows, endereço IP público e geolocalização, e exfiltra documentos com extensões como “.DOC”, “.XLS”, “.PDF”, “.HWP” e arquivos de áudio “.M4A” e “.AMR”. Os dados são criptografados com AES-256-CBC antes do envio.

Para evasão, o RokRAT verifica a presença do “360Tray.exe”, componente do antivírus Qihoo 360, e usa 21 strings de User-Agent diferentes para disfarçar o tráfego de rede como atividade normal de navegador.

A GSC identificou alta similaridade de código com uma variante do RokRAT rastreada em dezembro de 2025, reforçando a atribuição ao APT37. O grupo já havia abusado de Dropbox, pCloud e Yandex Cloud em campanhas anteriores — a adoção do Zoho WorkDrive segue a mesma lógica de usar infraestrutura legítima para esconder comunicações maliciosas.

Acompanhe o TecMundo nas redes sociais. Para mais notícias de tecnologia e segurança, inscreva-se em nosso canal do YouTube e nossa newsletter.

autor de origem

Compartilhar 0 FacebookTwitterLinkedinWhatsapp
postagem anterior
Ataque de vândalos destrói 22 lixeiras no entorno da Lagoa do Taquaral
próxima postagem
Pré-natal integral é menor entre indígenas e mulheres com pouco estudo

Você também pode gostar

Projeto de lei da preservação de games pode...

14 de julho de 2026

Novo celular da Hisense tem tela e-ink e...

14 de julho de 2026

Compra da Warner pela Paramount pode ser bloqueada...

14 de julho de 2026

Busca do Windows 11 ganha visual mais limpo...

14 de julho de 2026

POSTS MAIS RECENTES

  • Projeto de lei da preservação de games pode ser votado com urgência e não é “politicagem”, diz criador
  • Frio em SP: veja quais cidades registraram as menores temperaturas durante a frente fria
  • SUV da Xiaomi tem duas camas e se transforma em sala de estar com bancos que giram
  • Novo celular da Hisense tem tela e-ink e painel colorido na traseira
  • Postes de energia instalados no meio da rua preocupam moradores em Campinas; veja onde

Siga-nos

  • Recente
  • Popular
  • Projeto de lei da preservação de games pode ser votado com urgência e não é “politicagem”, diz criador

    14 de julho de 2026
  • Frio em SP: veja quais cidades registraram as menores temperaturas durante a frente fria

    14 de julho de 2026
  • SUV da Xiaomi tem duas camas e se transforma em sala de estar com bancos que giram

    14 de julho de 2026
  • Novo celular da Hisense tem tela e-ink e painel colorido na traseira

    14 de julho de 2026
  • 1

    Assessor ⁠da Casa Branca diz que novo chair do Fed deve ser “uma pessoa independente”

    22 de janeiro de 2026
  • 2

    IPVA mais caro do Brasil custa R$ 1 milhão; veja o carro mais caro de cada estado

    20 de janeiro de 2026
  • 3

    ⁠Infantino tem razão? Será que o futebol não existiria em ‘150 países’ sem a FIFA?

    5 de abril de 2026
  • 4

    ⁠Infantino tem razão? Será que o futebol não existiria em ‘150 países’ sem a FIFA?

    5 de abril de 2026

Postagens em destaque

Compra da Warner pela Paramount pode ser bloqueada...

14 de julho de 2026

Busca do Windows 11 ganha visual mais limpo...

14 de julho de 2026

Estudo alerta para avanço de bactéria em criações...

14 de julho de 2026

Recorde de frio: Campinas registra menor temperatura de...

14 de julho de 2026

Sony enfrenta processo de US$ 457 milhões que...

14 de julho de 2026

Leitura obrigatória

  • Projeto de lei da preservação de games pode ser votado com urgência e não é “politicagem”, diz criador

    14 de julho de 2026
  • Frio em SP: veja quais cidades registraram as menores temperaturas durante a frente fria

    14 de julho de 2026
  • SUV da Xiaomi tem duas camas e se transforma em sala de estar com bancos que giram

    14 de julho de 2026
  • Novo celular da Hisense tem tela e-ink e painel colorido na traseira

    14 de julho de 2026
  • Postes de energia instalados no meio da rua preocupam moradores em Campinas; veja onde

    14 de julho de 2026

Newsletter

Posts relacionados

  • Projeto de lei da preservação de games pode ser votado com urgência e não é “politicagem”, diz criador

    14 de julho de 2026
  • Novo celular da Hisense tem tela e-ink e painel colorido na traseira

    14 de julho de 2026
  • Compra da Warner pela Paramount pode ser bloqueada nos EUA! Entenda

    14 de julho de 2026
  • Busca do Windows 11 ganha visual mais limpo e fim de anúncios nos resultados

    14 de julho de 2026
  • Sony enfrenta processo de US$ 457 milhões que se intensifica após fim da mídia física de PlayStation

    14 de julho de 2026

Mais vistas da semana

⁠Infantino tem razão? Será que o futebol não existiria em ‘150 países’ sem a FIFA?
5 de abril de 2026
⁠Infantino tem razão? Será que o futebol não existiria em ‘150 países’ sem a FIFA?
5 de abril de 2026
Tudo sobre Witch Hat Atelier, anime de fantasia que conquistou muitos fãs
5 de julho de 2026

Postagens Aleatórias

Como está o elenco de Todo Mundo Odeia o Chris em 2026? Veja comparativo
4 de maio de 2026
Homem morre após ser atropelado duas vezes na Campinas-Mogi
19 de junho de 2026
Palpites para Bolívia x Suriname: Análises e Onde Assistir (26/03/2026)
25 de março de 2026

Categorias Populares

  • Tecnologia (6.174)
  • Política (3.650)
  • Mundo (3.258)
  • Campinas (2.156)
  • Negócios (1.271)
  • Economia (1.255)
  • Auto (1.156)
  • Bragança Paulista (1.134)
  • Esporte (825)
  • Saúde (509)

Notícias de São Paulo e do mundo, em tempo real. Cobertura completa de política, economia, mercado, cidades e assuntos que importam — com contexto e credibilidade.

Facebook Twitter Instagram Linkedin Youtube

Copyright © 2026 SampaNews. Todos os Direitos Reservados.

  • Anuncie
  • Contato
  • Política de Privacidade
sampanews.com
  • Home