sampanews.com
  • Cidades
  • Mundo
  • Política
  • Negócios
  • Esporte
  • Saúde
  • Cultura
  • Tecnologia
  • Auto

O que você está procurando?

Auto Cidades Cultura Economia Esporte Mundo Negócios

Recente

Compra da Warner pela Paramount pode ser bloqueada nos EUA! Entenda
14 de julho de 2026
Busca do Windows 11 ganha visual mais limpo e fim de anúncios nos resultados
14 de julho de 2026
Estudo alerta para avanço de bactéria em criações de peixes
14 de julho de 2026
Recorde de frio: Campinas registra menor temperatura de 2026 com 8,6°C 
14 de julho de 2026
terça-feira, julho 14, 2026
Top Posts
Compra da Warner pela Paramount pode ser bloqueada...
Busca do Windows 11 ganha visual mais limpo...
Estudo alerta para avanço de bactéria em criações...
Recorde de frio: Campinas registra menor temperatura de...
Sony enfrenta processo de US$ 457 milhões que...
Ciclista morre após ser atingido por carro na...
WhatsApp prepara nuvem própria para guardar backup de...
Suspeito de provocar incêndio em loja na Rua...
Governo federal aprova aumento do etanol na gasolina...
Air Fryer Barbecue da Gallant por menos de...
sampanews.com
Banner
  • Cidades
  • Mundo
  • Política
  • Negócios
  • Esporte
  • Saúde
  • Cultura
  • Tecnologia
  • Auto

O que você está procurando?

Auto Cidades Cultura Economia Esporte Mundo Negócios

Recente

Compra da Warner pela Paramount pode ser bloqueada nos EUA! Entenda
14 de julho de 2026
Busca do Windows 11 ganha visual mais limpo e fim de anúncios nos resultados
14 de julho de 2026
Estudo alerta para avanço de bactéria em criações de peixes
14 de julho de 2026
Recorde de frio: Campinas registra menor temperatura de 2026 com 8,6°C 
14 de julho de 2026
sampanews.com

O que você está procurando?

Auto Cidades Cultura Economia Esporte Mundo Negócios

Recente

Compra da Warner pela Paramount pode ser bloqueada nos EUA! Entenda
14 de julho de 2026
Busca do Windows 11 ganha visual mais limpo e fim de anúncios nos resultados
14 de julho de 2026
Estudo alerta para avanço de bactéria em criações de peixes
14 de julho de 2026
Recorde de frio: Campinas registra menor temperatura de 2026 com 8,6°C 
14 de julho de 2026
sampanews.com
  • Cidades
  • Mundo
  • Política
  • Negócios
  • Esporte
  • Saúde
  • Cultura
  • Tecnologia
  • Auto
Copyright 2026 - Todos os Direitos Reservados

Criminosos usam Facebook para distribuir vírus disfarçado de leitor de PDF

por SampaNews 13 de abril de 2026
13 de abril de 2026
27

O grupo norte-coreano APT37, também rastreado como ScarCruft, foi atribuído a uma campanha de espionagem cibernética. O ataque começa no Facebook e termina com a instalação silenciosa do RokRAT, um trojan de acesso remoto focado em coleta de informações.

A análise da Genians Security Center (GSC), empresa sul-coreana de cibersegurança, mostrou que os operadores criaram duas contas no Facebook — “richardmichael0828” e “johnsonsophia0414” — com localização definida como Pyongyang e Pyongsong, na Coreia do Norte.

smart_display

Nossos vídeos em destaque

Ambas foram criadas no mesmo dia, 10 de novembro de 2025, o que sugere operação coordenada por um único ator ou organização.

Fluxo completo do ataque: o APT37 usa Facebook e Telegram para entregar um instalador adulterado do PDFelement à vítima; o RokRAT instalado exfiltra dados para o Zoho WorkDrive via API OAuth2. Imagem: Genians Security Center.

Pedido de amizade vira vetor de ataque

A tática segue um roteiro de engenharia social em várias etapas. Primeiro, as vítimas recebem pedidos de amizade. Depois de estabelecida uma relação de confiança via Messenger, a conversa migra para o Telegram, onde é entregue um arquivo ZIP chamado “m.zip”.

O pacote contém um executável malicioso disfarçado de leitor de PDF, quatro documentos PDF com títulos militares como isca e um arquivo de instruções em texto.

Os criminosos alegam que os documentos supostamente contém materiais confidenciais sobre armamentos militares. Para fazer a vítima executar o arquivo, eles justificam que os arquivos estão criptografados e exigem um visualizador dedicado para serem abertos. Essa  técnica se chama pretexting, em que o atacante cria um cenário falso para induzir a vítima a executar um programa malicioso.

rokrat (1).png
O arquivo de instruções continha marcadores linguísticos do norte-coreano, como programa e arquivo. Imagem: Genians Security Center.

Instalador adulterado, shellcode embutido

O executável entregue é uma versão adulterada do Wondershare PDFelement, um leitor de PDF legítimo distribuído pela Wondershare. O arquivo original possui assinatura digital válida. A versão maliciosa, renomeada como “Wondershare_PDFelement_Installer(PDF_Security).exe”, não tem assinatura.

Os criminosos mantiveram a função principal do instalador e alteraram apenas o entry point. Isso redireciona a execução para um shellcode de cerca de 2 KB inserido em uma região não utilizada da seção de código. Isso é conhecido como code cave injection ou PE patching.

Quando o programa é executado, o shellcode roda primeiro. Ele cria o processo legítimo do Windows “dism.exe” em estado suspenso, injeta nele um payload descriptografado via XOR e só então retorna o fluxo de execução ao instalador original. Para o usuário, a instalação parece normal. Em segundo plano, o sistema já foi comprometido.

rokrat (2).png
O APT37 adulterou o instalador legítimo do Wondershare PDFelement, mantendo a aparência do programa original para não levantar suspeitas durante a execução. Imagem: Genians Security Center.

C2 disfarçado de imagem JPG

A URL de comando e controle (C2) embutida no shellcode aponta para “japanroom[.]com”, o site da filial em Seul de um serviço japonês de informações imobiliárias. O domínio legítimo foi comprometido e usado como infraestrutura de ataque.

A requisição ao servidor busca um arquivo chamado “1288247428101.jpg” — isso porque a extensão “.jpg” é usada para disfarçar o tráfego malicioso como uma requisição de imagem comum, contornando filtros de URL e monitoramento de rede. O conteúdo real é um payload de segundo estágio criptografado com XOR, executado diretamente na memória sem ser gravado em disco. Essa é uma técnica fileless, que dificulta a detecção por soluções baseadas em análise de arquivos.

RokRAT via Zoho WorkDrive

O payload final é o RokRAT, backdoor consolidado do APT37. Nesta campanha, ele abusa da API OAuth2 do Zoho WorkDrive, plataforma online de armazenamento, gestão e colaboração de arquivos voltada para equipes, como canal de C2. Isso porque o tráfego para serviços de nuvem legítimos é difícil de distinguir de atividade corporativa normal.

rokrat (3).png
Diagrama técnico do shellcode injetado no instalador adulterado: o código malicioso roda antes da instalação legítima, cria o processo “dism.exe” em estado suspenso, injeta o payload via XOR e só então devolve o controle ao instalador original. Imagem: Genians Security Center

As credenciais OAuth2 estão hardcoded no binário. O malware captura screenshots da área de trabalho, executa comandos remotos via “cmd.exe”, coleta nome do computador, versão do Windows, endereço IP público e geolocalização, e exfiltra documentos com extensões como “.DOC”, “.XLS”, “.PDF”, “.HWP” e arquivos de áudio “.M4A” e “.AMR”. Os dados são criptografados com AES-256-CBC antes do envio.

Para evasão, o RokRAT verifica a presença do “360Tray.exe”, componente do antivírus Qihoo 360, e usa 21 strings de User-Agent diferentes para disfarçar o tráfego de rede como atividade normal de navegador.

A GSC identificou alta similaridade de código com uma variante do RokRAT rastreada em dezembro de 2025, reforçando a atribuição ao APT37. O grupo já havia abusado de Dropbox, pCloud e Yandex Cloud em campanhas anteriores — a adoção do Zoho WorkDrive segue a mesma lógica de usar infraestrutura legítima para esconder comunicações maliciosas.

Acompanhe o TecMundo nas redes sociais. Para mais notícias de tecnologia e segurança, inscreva-se em nosso canal do YouTube e nossa newsletter.

autor de origem

Compartilhar 0 FacebookTwitterLinkedinWhatsapp
postagem anterior
Ataque de vândalos destrói 22 lixeiras no entorno da Lagoa do Taquaral
próxima postagem
Pré-natal integral é menor entre indígenas e mulheres com pouco estudo

Você também pode gostar

Compra da Warner pela Paramount pode ser bloqueada...

14 de julho de 2026

Busca do Windows 11 ganha visual mais limpo...

14 de julho de 2026

Sony enfrenta processo de US$ 457 milhões que...

14 de julho de 2026

WhatsApp prepara nuvem própria para guardar backup de...

14 de julho de 2026

POSTS MAIS RECENTES

  • Compra da Warner pela Paramount pode ser bloqueada nos EUA! Entenda
  • Busca do Windows 11 ganha visual mais limpo e fim de anúncios nos resultados
  • Estudo alerta para avanço de bactéria em criações de peixes
  • Recorde de frio: Campinas registra menor temperatura de 2026 com 8,6°C 
  • Sony enfrenta processo de US$ 457 milhões que se intensifica após fim da mídia física de PlayStation

Siga-nos

  • Recente
  • Popular
  • Compra da Warner pela Paramount pode ser bloqueada nos EUA! Entenda

    14 de julho de 2026
  • Busca do Windows 11 ganha visual mais limpo e fim de anúncios nos resultados

    14 de julho de 2026
  • Estudo alerta para avanço de bactéria em criações de peixes

    14 de julho de 2026
  • Recorde de frio: Campinas registra menor temperatura de 2026 com 8,6°C 

    14 de julho de 2026
  • 1

    Assessor ⁠da Casa Branca diz que novo chair do Fed deve ser “uma pessoa independente”

    22 de janeiro de 2026
  • 2

    IPVA mais caro do Brasil custa R$ 1 milhão; veja o carro mais caro de cada estado

    20 de janeiro de 2026
  • 3

    ⁠Infantino tem razão? Será que o futebol não existiria em ‘150 países’ sem a FIFA?

    5 de abril de 2026
  • 4

    ⁠Infantino tem razão? Será que o futebol não existiria em ‘150 países’ sem a FIFA?

    5 de abril de 2026

Postagens em destaque

Ciclista morre após ser atingido por carro na...

14 de julho de 2026

WhatsApp prepara nuvem própria para guardar backup de...

14 de julho de 2026

Suspeito de provocar incêndio em loja na Rua...

14 de julho de 2026

Governo federal aprova aumento do etanol na gasolina...

14 de julho de 2026

Air Fryer Barbecue da Gallant por menos de...

14 de julho de 2026

Leitura obrigatória

  • Compra da Warner pela Paramount pode ser bloqueada nos EUA! Entenda

    14 de julho de 2026
  • Busca do Windows 11 ganha visual mais limpo e fim de anúncios nos resultados

    14 de julho de 2026
  • Estudo alerta para avanço de bactéria em criações de peixes

    14 de julho de 2026
  • Recorde de frio: Campinas registra menor temperatura de 2026 com 8,6°C 

    14 de julho de 2026
  • Sony enfrenta processo de US$ 457 milhões que se intensifica após fim da mídia física de PlayStation

    14 de julho de 2026

Newsletter

Posts relacionados

  • Compra da Warner pela Paramount pode ser bloqueada nos EUA! Entenda

    14 de julho de 2026
  • Busca do Windows 11 ganha visual mais limpo e fim de anúncios nos resultados

    14 de julho de 2026
  • Sony enfrenta processo de US$ 457 milhões que se intensifica após fim da mídia física de PlayStation

    14 de julho de 2026
  • WhatsApp prepara nuvem própria para guardar backup de conversas

    14 de julho de 2026
  • Air Fryer Barbecue da Gallant por menos de R$ 550 com o cupom Shopee; conheça o modelo

    14 de julho de 2026

Mais vistas da semana

⁠Infantino tem razão? Será que o futebol não existiria em ‘150 países’ sem a FIFA?
5 de abril de 2026
⁠Infantino tem razão? Será que o futebol não existiria em ‘150 países’ sem a FIFA?
5 de abril de 2026
Tudo sobre Witch Hat Atelier, anime de fantasia que conquistou muitos fãs
5 de julho de 2026

Postagens Aleatórias

Bragantinas largam com vitória no Brasileiro Feminino A1
16 de fevereiro de 2026
Mulher se apaixona, casa e fica viúva de ChatGPT
19 de fevereiro de 2026
Android 17 promete mais qualidade no Instagram, Premiere e novidades para criadores
12 de maio de 2026

Categorias Populares

  • Tecnologia (6.172)
  • Política (3.650)
  • Mundo (3.258)
  • Campinas (2.154)
  • Negócios (1.271)
  • Economia (1.255)
  • Auto (1.155)
  • Bragança Paulista (1.134)
  • Esporte (825)
  • Saúde (509)

Notícias de São Paulo e do mundo, em tempo real. Cobertura completa de política, economia, mercado, cidades e assuntos que importam — com contexto e credibilidade.

Facebook Twitter Instagram Linkedin Youtube

Copyright © 2026 SampaNews. Todos os Direitos Reservados.

  • Anuncie
  • Contato
  • Política de Privacidade
sampanews.com
  • Home