Notícias, Informações sobre ameaças

Abra o «PDF» errado e os atacantes obtêm acesso remoto ao seu PC

por Pieter Arntz | 5 de fevereiro de 2026
PDF e RAT

Os cibercriminosos por trás de uma campanha chamada DEAD#VAX estão levando o phishing um passo adiante, entregando malware dentro de discos rígidos virtuais que fingem ser documentos PDF comuns. Abra a “fatura” ou “ordem de compra” errada e você não verá nenhum documento. Em vez disso, Windows uma unidade virtual que instala silenciosamente o AsyncRAT, um trojan backdoor que permite aos invasores monitorar e controlar remotamente o seu computador.

É uma ferramenta de acesso remoto, o que significa que os invasores obtêm controlo remoto do teclado, enquanto as defesas tradicionais baseadas em ficheiros não detectam quase nada de suspeito no disco.

De um ponto de vista geral, a cadeia de infeção é longa, mas cada etapa parece suficientemente legítima por si só para passar despercebida em verificações casuais.

As vítimas recebem e-mails de phishing que parecem mensagens comerciais rotineiras, muitas vezes referenciando ordens de compra ou faturas e, às vezes, falsificando empresas reais. O e-mail não anexa um documento diretamente. Em vez disso, ele direciona para um ficheiro hospedado no IPFS (InterPlanetary File System), uma rede de armazenamento descentralizada cada vez mais utilizada em campanhas de phishing porque o conteúdo é mais difícil de remover e pode ser acessado através de gateways web normais.

O ficheiro associado tem o nome de um PDF e o ícone de PDF, mas na verdade é um ficheiro de disco rígido virtual (VHD). Quando o utilizador clica duas vezes nele, Windows como uma nova unidade (por exemplo, unidade E:) em vez de abrir um visualizador de documentos. A montagem de VHDs é Windows perfeitamente legítimo Windows , o que torna esta etapa menos suscetível de despertar suspeitas.

Dentro da unidade montada está o que parece ser o documento esperado, mas na verdade é um ficheiroWindows (WSF). Quando o utilizador o abre, Windows o código no ficheiro em vez de exibir um PDF.

Após algumas verificações para evitar análise e deteção, o script injeta a carga útil — shellcode AsyncRAT — em processos confiáveis e assinados pela Microsoft, como RuntimeBroker.exe, OneDrive.exe, taskhostw.exe, ou sihost.exe. O malware nunca grava um ficheiro executável real no disco. Ele reside e é executado inteiramente na memória dentro desses processos legítimos, tornando a deteção e, eventualmente, numa fase posterior, a análise forense muito mais difíceis. Ele também evita picos repentinos de atividade ou uso de memória que poderiam chamar a atenção.

Para um utilizador individual, cair neste e-mail de phishing pode resultar em:

  • Theft palavras-passe guardadas e digitadas, incluindo para e-mail, bancos e redes sociais.
  • Exposição de documentos confidenciais, fotos ou outros ficheiros sensíveis retirados diretamente do sistema.
  • Vigilância através de capturas de ecrã periódicas ou, quando configurado, captura pela webcam.
  • Utilização da máquina como ponto de apoio para atacar outros dispositivos na mesma rede doméstica ou empresarial.

Como se manter seguro

Como a deteção pode ser difícil, é fundamental que os utilizadores apliquem determinadas verificações:

  • Não abra anexos de e-mail antes de verificar, com uma fonte confiável, se eles são legítimos.
  • Certifique-se de que consegue ver o extensões de ficheiros. Infelizmente, Windows que os utilizadores os ocultem. Assim, quando na realidade o ficheiro se chamaria invoice.pdf.vhd o utilizador só veria invoice.pdf. Para saber como fazer isso, veja abaixo.
  • Use uma solução antimalware atualizada e em tempo real, capaz de detectar malware oculto na memória.

Mostrar extensões de ficheiros no Windows e 11

Para mostrar extensões de ficheiros no Windows e 11:

  • Abrir o Explorador (Windows + E)
  • No Windows , selecioneExibire marque a caixaExtensões denome de ficheiro.
  • No Windows , isso pode ser encontrado emExibir > Mostrar > Extensões de nome de ficheiro.

Em alternativa, procure por Opções do Explorador de Ficheiros para desmarcar a opção Ocultar extensões para tipos de ficheiros conhecidos.

Para versões mais antigas do Windows, consulte este artigo.

Não nos limitamos a comunicar as ameaças - eliminamo-las

Os riscos de cibersegurança nunca se devem propagar para além de uma manchete. Mantenha as ameaças longe dos seus dispositivos descarregando Malwarebytes hoje mesmo.

Sobre o autor

Pieter Arntz

Pieter Arntz

Investigador de Inteligência de Malware

Foi um Microsoft MVP em segurança do consumidor durante 12 anos consecutivos. Sabe falar quatro línguas. Cheira a mogno rico e a livros encadernados em pele.

ÚLTIMOS ARTIGOS

IA
Uma mão estende-se para apanhar um asterisco de uma palavra-passe escrita.

As palavras-passe geradas por IA são um risco à segurança

fevereiro 19, 2026

As palavras-passe geradas por IA são «altamente previsíveis» e não são verdadeiramente aleatórias, tornando-as mais fáceis de serem decifradas por cibercriminosos.

Notícias
Tenha logo

A fabricante de produtos íntimos Tenga divulgou dados de clientes

fevereiro 19, 2026

Um ataque de phishing a um funcionário da Tenga pode ter exposto dados de clientes dos EUA. Os clientes devem estar atentos a tentativas de phishing com tema de sextorsão.

Violações de dados
Logótipo da Betterment

A violação de dados da Betterment pode ser pior do que pensávamos

fevereiro 18, 2026

Esta violação parece agora muito mais grave. Os dados que vazaram incluem informações pessoais e financeiras detalhadas que os phishers poderiam usar.

Ícone dos contribuidores

Contribuintes

Ícone do Centro de Ameaças

Centro de Ameaças

Ícone de podcasts

Podcast

Ícone do glossário

Glossário

Ícone de burla

Fraudes