{"id":19333,"date":"2026-06-02T10:36:27","date_gmt":"2026-06-02T13:36:27","guid":{"rendered":"https:\/\/fenati.org.br\/?p=19333"},"modified":"2026-06-02T10:51:31","modified_gmt":"2026-06-02T13:51:31","slug":"golpe-por-e-mail-compras-falsas-roubar-senhas-em-pcs","status":"publish","type":"post","link":"https:\/\/fenati.org.br\/en\/golpe-por-e-mail-compras-falsas-roubar-senhas-em-pcs\/","title":{"rendered":"Golpe por e-mail usa compras falsas para roubar senhas em PCs"},"content":{"rendered":"<p><strong>Golpe por e-mail &#8211;<\/strong> Hackers est\u00e3o utilizando e-mails com falsos pedidos de compra para comprometer computadores com Windows e instalar o malware PureLogs, segundo uma investiga\u00e7\u00e3o realizada por pesquisadores da <a href=\"https:\/\/pt.wikipedia.org\/wiki\/Fortinet\" target=\"_blank\" rel=\"noopener nofollow\">Fortinet<\/a>. A campanha de phishing, atualmente em andamento, tem como objetivo capturar senhas, informa\u00e7\u00f5es banc\u00e1rias, credenciais de acesso e dados de carteiras de criptomoedas.<\/p>\n<p>A infec\u00e7\u00e3o come\u00e7a quando a v\u00edtima recebe uma mensagem contendo o arquivo compactado \u201cPO 2026-P0803.rar\u201d. O anexo se apresenta como um pedido de compra leg\u00edtimo, mas, ao ser aberto, executa silenciosamente um script oculto em segundo plano.<\/p>\n<p><a href=\"https:\/\/fenati.org.br\/en\/uso-de-ia-e-estimulado-84-empresas-tecnologia\/\" target=\"_blank\" rel=\"noopener\"><strong>LEIA: Uso de IA \u00e9 estimulado por 84% das empresas de tecnologia, revela pesquisa<\/strong><\/a><\/p>\n<p>Esse script utiliza o PowerShell, ferramenta nativa do Windows destinada \u00e0 execu\u00e7\u00e3o de comandos administrativos, para baixar e executar c\u00f3digo malicioso sem que o usu\u00e1rio perceba qualquer atividade suspeita.<\/p>\n<p>Um dos principais diferenciais da campanha \u00e9 a t\u00e9cnica empregada para evitar a detec\u00e7\u00e3o por sistemas de seguran\u00e7a. O m\u00e9todo, conhecido como process hollowing, ou \u201cesvaziamento de processo\u201d, consiste em assumir o controle de um programa leg\u00edtimo do sistema operacional e executar o malware dentro dele.<\/p>\n<p>Na a\u00e7\u00e3o identificada pela Fortinet, os criminosos utilizam o MsBuild.exe, componente oficial do Windows amplamente empregado em atividades de desenvolvimento de software. Como se trata de um processo confi\u00e1vel para o sistema, ferramentas de seguran\u00e7a t\u00eam mais dificuldade para identificar comportamentos anormais.<\/p>\n<p>O procedimento envolve iniciar o MsBuild.exe em estado suspenso, remover seu conte\u00fado da mem\u00f3ria, inserir o c\u00f3digo malicioso nesse espa\u00e7o e, em seguida, retomar sua execu\u00e7\u00e3o. Dessa forma, o sistema operacional interpreta a atividade como leg\u00edtima.<\/p>\n<p>Depois de assumir o controle do processo, o malware extrai um m\u00f3dulo chamado Iwnflr.exe. A fun\u00e7\u00e3o desse componente \u00e9 estabelecer comunica\u00e7\u00e3o com um servidor remoto controlado pelos atacantes.<\/p>\n<p>A conex\u00e3o ocorre por meio do endere\u00e7o 77.83.39.211, utilizando a porta 8443. Inicialmente, o m\u00f3dulo verifica se o servidor est\u00e1 ativo. Em seguida, faz o download do PureLogs diretamente para a mem\u00f3ria do computador, sem gravar arquivos no disco r\u00edgido.<\/p>\n<p>Essa abordagem reduz as chances de detec\u00e7\u00e3o, j\u00e1 que grande parte dos antiv\u00edrus concentra o monitoramento em arquivos armazenados localmente. Como o PureLogs funciona apenas na mem\u00f3ria, ele n\u00e3o deixa rastros f\u00edsicos no HD.<\/p>\n<p>Uma vez ativo, o malware inicia a coleta de dados em larga escala. O programa procura informa\u00e7\u00f5es armazenadas em navegadores como Chrome, Firefox, Brave, Vivaldi e Edge, incluindo senhas salvas, hist\u00f3rico de navega\u00e7\u00e3o e cookies de sess\u00e3o.<\/p>\n<p>As carteiras de criptomoedas tamb\u00e9m s\u00e3o alvo da opera\u00e7\u00e3o. Entre os aplicativos visados est\u00e3o Bitcoin Core, Dogecoin Core, Litecoin Core, Exodus e Atomic Wallet. O malware busca acessar chaves privadas e registros de transa\u00e7\u00f5es armazenados no computador infectado.<\/p>\n<p>Al\u00e9m disso, o PureLogs tenta obter tokens de autentica\u00e7\u00e3o do Discord, senhas armazenadas em clientes de e-mail como Outlook e credenciais de servi\u00e7os de VPN, incluindo ProtonVPN e OpenVPN.<\/p>\n<p>Antes de transmitir as informa\u00e7\u00f5es aos criminosos, o malware re\u00fane os dados coletados em um \u00fanico pacote. O conte\u00fado inclui uma captura de tela da \u00e1rea de trabalho, informa\u00e7\u00f5es do sistema, dados copiados para a \u00e1rea de transfer\u00eancia e o nome de usu\u00e1rio da m\u00e1quina.<\/p>\n<p>Todo esse material \u00e9 comprimido e criptografado com AES, algoritmo amplamente utilizado para prote\u00e7\u00e3o de dados, dificultando a identifica\u00e7\u00e3o do conte\u00fado por ferramentas de seguran\u00e7a durante a transmiss\u00e3o. O pacote \u00e9 ent\u00e3o enviado ao servidor dos invasores por meio de requisi\u00e7\u00f5es HTTP.<\/p>\n<p>Segundo a Fortinet, os filtros de e-mail da empresa conseguiram identificar as mensagens maliciosas e marcar seus assuntos com o aviso \u201cv\u00edrus detectado\u201d, impedindo que os anexos chegassem \u00e0s caixas de entrada dos usu\u00e1rios monitorados.<\/p>\n<p>Como medida de prote\u00e7\u00e3o, os pesquisadores recomendam que empresas reforcem os mecanismos de filtragem de e-mails, limitem a execu\u00e7\u00e3o de scripts desnecess\u00e1rios e acompanhem atividades incomuns envolvendo o PowerShell.<\/p>\n<p>Para usu\u00e1rios comuns, o ideal \u00e9 evitar abrir anexos recebidos sem solicita\u00e7\u00e3o pr\u00e9via, mesmo quando a mensagem aparentar ter sido enviada por fornecedores ou parceiros comerciais conhecidos.<\/p>\n<p><strong>Junte cashback e transfira para sua conta com a Benef\u00edcios Rede Bee!<\/strong><\/p>\n<p>A Bee Fenati \u2013 a rede social dos profissionais de TI de todo o Brasil \u2013 segue em expans\u00e3o para garantir aos seus usu\u00e1rios cada vez mais benef\u00edcios. Agora a plataforma conta com a Benef\u00edcios Rede Bee, que re\u00fane descontos em dezenas de grandes marcas, com muitas delas oferecendo cashback, ou seja, o retorno de um valor da sua compra que poder\u00e1 ser transferido direto para sua conta! <a href=\"https:\/\/fenati.org.br\/en\/novidade-trabalhador-zerar-contribuicao-sindical-bee-fenati\/\"><strong>(Saiba mais aqui)<\/strong><\/a><\/p>\n<p>Baixe o aplicativo nas lojas\u00a0<a href=\"https:\/\/apps.apple.com\/br\/app\/bee-fenati\/id6749653741\" rel=\"nofollow noopener\" target=\"_blank\"><strong>App Store<\/strong><\/a>\u00a0e\u00a0<a href=\"https:\/\/play.google.com\/store\/apps\/details?id=com.redebee.redebeefenati\" rel=\"nofollow noopener\" target=\"_blank\"><strong>Google Store<\/strong><\/a>\u00a0e aproveite agora! A Bee Fenati re\u00fane em um \u00fanico ambiente ofertas em \u00e1reas como educa\u00e7\u00e3o, compras, viagens, lazer, servi\u00e7os, tecnologia e muito mais. Dentre as marcas parceiras est\u00e3o Magalu, Renner, Drogasil, C&amp;A, Dell, Casas Bahia, Vivo, Petz, Drogaria S\u00e3o Paulo, e muito mais!<\/p>\n<p>Al\u00e9m de poderem aproveitar os descontos oferecidos pelas marcas parceiras, os usu\u00e1rios da plataforma receber\u00e3o de volta um percentual a cada compra que realizarem em parceiros que oferecem o cashback.<\/p>\n<p>Este valor ficar\u00e1 em uma carteira digital dentro da plataforma da Benef\u00edcios Rede Bee e, a partir de R$ 20 reais acumulados em cashback, o trabalhador pode transferir o dinheiro direto para sua conta banc\u00e1ria!<\/p>\n<p>Na pr\u00e1tica, a ferramenta permitir\u00e1 que s\u00f3cios e contribuintes dos sindicatos filiados \u00e0 Fenati (Federa\u00e7\u00e3o Nacional dos Trabalhadores em Tecnologia da Informa\u00e7\u00e3o) possam ZERAR o valor da sua contribui\u00e7\u00e3o assistencial e associativa!<\/p>\n<p>Atualmente, o valor da contribui\u00e7\u00e3o \u00e9 de R$ 32,50 por m\u00eas para s\u00f3cios e R$ 35 por m\u00eas para contribuintes, ou seja, \u00e9 poss\u00edvel recuperar todo esse valor e ainda acumular muito mais \u2013 tudo isso contribuindo para fortalecer a categoria e transformando as compras e servi\u00e7os do cotidiano em ganho real.<\/p>\n<p>&nbsp;<\/p>\n<p><strong><em>(Com informa\u00e7\u00f5es de Tecmundo)<\/em><\/strong><\/p>\n<p><strong><em>(Foto: Reprodu\u00e7\u00e3o\/Magnific)<\/em><\/strong><\/p>","protected":false},"excerpt":{"rendered":"<p>Pesquisadores identificaram uma campanha ativa que distribui o malware PureLogs por meio de pedidos de compra falsificados<\/p>","protected":false},"author":16,"featured_media":19334,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[42],"tags":[13],"class_list":["post-19333","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-noticias","tag-sindical"],"_links":{"self":[{"href":"https:\/\/fenati.org.br\/en\/wp-json\/wp\/v2\/posts\/19333","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/fenati.org.br\/en\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/fenati.org.br\/en\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/fenati.org.br\/en\/wp-json\/wp\/v2\/users\/16"}],"replies":[{"embeddable":true,"href":"https:\/\/fenati.org.br\/en\/wp-json\/wp\/v2\/comments?post=19333"}],"version-history":[{"count":1,"href":"https:\/\/fenati.org.br\/en\/wp-json\/wp\/v2\/posts\/19333\/revisions"}],"predecessor-version":[{"id":19335,"href":"https:\/\/fenati.org.br\/en\/wp-json\/wp\/v2\/posts\/19333\/revisions\/19335"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/fenati.org.br\/en\/wp-json\/wp\/v2\/media\/19334"}],"wp:attachment":[{"href":"https:\/\/fenati.org.br\/en\/wp-json\/wp\/v2\/media?parent=19333"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/fenati.org.br\/en\/wp-json\/wp\/v2\/categories?post=19333"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/fenati.org.br\/en\/wp-json\/wp\/v2\/tags?post=19333"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}