Notícias, Informações sobre ameaças

O e-mail “Sua encomenda chegou” esconde um software de acesso remoto

por Pieter Arntz | 17 de abril de 2026
entrega da remessa

Um anexo em um e-mail que se faz passar pela DHL sobre uma remessa contém um link para uma ferramenta de acesso remoto SimpleHelp pré-configurada — um ponto de partida ideal para que invasores explorem uma rede, roubem dados e instalem malware adicional.

Uma empresa alemã fornecedora de peças de reposição e equipamentos industriais recebeu um e-mail que se passava por um da DHL, informando que uma remessa havia chegado.

Captura de tela de um e-mail que se faz passar por um da DHL

Dado o ramo de atividade deles, imagino que recebam esse tipo de e-mail o tempo todo. Mas alguns detalhes chamaram a atenção:

  • O endereço de e-mail do remetente não pertencia à DHL,
  • o endereço do destinatário era o endereço geral info@ da empresa,
  • as imagens do e-mail estavam hospedadas em ecp.yusercontent.com,  
  • e, acima de tudo, havia apego.

Embora o conteúdo remoto esteja hospedado em uma página legítima do Yahoo, comumente usada para exibir imagens e outros conteúdos no Yahoo Mail, isso não é algo que a DHL costuma utilizar.

O anexo, um arquivo PDF chamado AWB-Doc0921.pdf é apenas uma imagem desfocada com um botão da marca Microsoft que solicita à vítima que clique em “Continuar” para acessar um arquivo seguro.

conteúdo ocultado com um botão “Continuar”

Na verdade, ao clicar no botão, é baixado um arquivo chamado AWB-Doc0921.scr do domínio longhungphatlogistics[.]vn, um domínio pertencente a uma empresa de logística vietnamita que provavelmente foi comprometido para hospedar malware.

Malwarebytes o longhungphatlogistics[.]vn
Malwarebytes o longhungphatlogistics[.]vn

A .scr O arquivo é um Windows , que é um executável (.exe) arquivo usado para iniciar protetores de tela. Eles costumam ser usados para ocultar códigos maliciosos, pois Windows neles, permitindo que contornem algumas camadas de segurança. 

Nesse caso, o arquivo é um instalador modificado de uma ferramenta de acesso remoto assinado pela SimpleHelp.

Aviso do UAC para o instalador assinado
Aviso do UAC para o instalador assinado

O SimpleHelp é uma plataforma de suporte remoto e de monitoramento e gerenciamento remoto (RMM). Ele permite o controle remoto de desktops, a transferência de arquivos, diagnósticos e acesso autônomo. Nas mãos erradas, isso funciona efetivamente como uma porta dos fundos do tipo suporte técnico. Os invasores podem utilizá-lo para reconhecimento, roubo de credenciais, movimentação lateral, evasão de defesas e instalação de outros malwares, incluindo ransomware. Já vimos o SimpleHelp ser usado indevidamente dessa forma anteriormente.

Trata-se basicamente de um modelo de beacon. Uma vez instalado, o sistema se conecta ao servidor do invasor, o que tem mais chances de ser permitido através do NAT e dos firewalls do que as conexões de entrada. Como foi o usuário quem iniciou a instalação, o invasor obtém visibilidade imediata do sistema e pode se reconectar posteriormente sempre que o serviço estiver em execução. No caso de um phishing, isso significa que a isca precisa apenas fazer com que a vítima execute o arquivo uma vez. Depois disso, o console do invasor pode exibir a nova máquina como um ativo gerenciável.

Apesar de parecer um ataque não direcionado, a campanha demonstra um nível razoável de sofisticação ao utilizar componentes legítimos para induzir os alvos a executar a ferramenta de acesso remoto.

Como se manter seguro

A boa notícia: uma vez que você sabe o que procurar, esses ataques são muito mais fáceis de detectar e bloquear. A má notícia: eles são baratos, escaláveis e continuarão a circular.

Portanto, da próxima vez que um “PDF” solicitar que você baixe um arquivo, pare para pensar no que pode estar escondido por trás disso.

Além de evitar anexos não solicitados, aqui estão algumas maneiras de se manter seguro:

  • Acesse suas contas apenas por meio de aplicativos oficiais ou digitando o endereço do site oficial diretamente no seu navegador.
  • Verifique as extensões dos arquivos com cuidado. Mesmo que um arquivo instale uma ferramenta legítima, pode não ser seguro executá-lo.
  • Habilitea autenticação multifatorialpara suas contas críticas.
  • Use umasolução antimalwareatualizada e em tempo real com um módulo de proteção da web.

Dica profissional:Malwarebytes Guardreconheceu este e-mail como uma fraude.

Algo parece errado? Verifique antes de clicar.  

Malwarebytes Guardajuda você a analisar instantaneamente links, mensagens de texto e capturas de tela suspeitas.  

Disponível comMalwarebytes Premium para todos os seus dispositivos e noMalwarebytes para iOS Android.  

Experimente gratuitamente → 

Sobre o autor

Pieter Arntz

Pieter Arntz

Pesquisador de inteligência de malware

Foi Microsoft MVP em segurança do consumidor por 12 anos consecutivos. Fala quatro idiomas. Cheira a mogno e a livros encadernados em couro.

ÚLTIMOS ARTIGOS

Notícias
lembrar senhas

A Microsoft afirma que o comportamento Edgeem relação às senhas em texto simples é “intencional”

Maio 8, 2026

Um pesquisador descobriu que Edge senhas salvas na memória do computador ao iniciar, facilitando o roubo delas caso o dispositivo já esteja comprometido.

Violações de dados
Logotipo em tela

O ShinyHunters intensifica os ataques ao Canvas com desfigurações de páginas de login de escolas

Maio 8, 2026

Dias após o primeiro ataque, o ShinyHunters está pressionando as vítimas com mensagens de resgate nos portais de login das escolas.

IA
sites de notícias falsas levam a golpes de investimento

Rede de fraude envolvendo investimentos em IA abrange 15.500 domínios

Maio 7, 2026

Golpistas especializados em investimentos em IA se valeram da plataforma de rastreamento de anúncios Keitaro para ocultar sua campanha, expondo-a apenas a alvos em potencial.

Artigos relacionados

Ícone dos colaboradores

Contribuintes

Ícone da Central de Ameaças

Centro de Ameaças

Ícone de podcasts

Podcast

Ícone do glossário

Glossário

Ícone de golpes

Golpes