Golpes, Inteligência de Ameaças

Esse «resumo da vaga» no Google Forms pode infetar o seu dispositivo

por Gabriele Orini | 20 de março de 2026
Formulários do Google

Identificámos uma campanha que utiliza iscos relacionados com o mundo empresarial, tais como entrevistas de emprego, resumos de projetos e documentos financeiros, para distribuir malware, incluindo o trojan de acesso remoto (RAT) PureHVNC.

Não é o malware que é novo, mas sim a forma como o ataque começa.

Em vez dos habituais e-mails de phishing ou páginas de download falsas, os atacantes estão a utilizar o Google Forms para dar início à cadeia de infeção. O ataque começa normalmente quando a vítima descarrega um ficheiro ZIP com temática empresarial a partir de um link incluído num Google Form. No seu interior encontra-se um ficheiro malicioso que desencadeia um processo de infeção em várias fases, acabando por instalar malware no sistema.

O que é o PureHVNC?

O PureHVNC é umRAT modular .NETpertencente à família de malware «Pure». Em termos simples, permite aos atacantes controlar remotamente um dispositivo infetado e roubar informações confidenciais.

Depois de instalado, permite:

  • Assuma o controlo do sistema e execute comandos remotamente.
  • Recolher informações sobre o dispositivo, incluindo o sistema operativo, o hardware, o software de segurança e informações sobre o utilizador e os dispositivos ligados.
  • Roubar dados de navegadores, extensões e carteiras de criptomoedas.
  • Extrair dados de aplicações como o Telegram e o Foxmail.
  • Instale plugins adicionais.
  • Conseguir a persistência de várias formas (por exemplo, através de tarefas agendadas).

Iscas diferentes, mesmo objetivo: comprometer o seu dispositivo

Na nossa investigação, descobrimos vários formulários do Google Forms que contêm links para ficheiros ZIP maliciosos que dão início à cadeia de infeção. Estes formulários são convincentes, pois utilizam nomes, logótipos e links de empresas reais. LinkedIn uma das plataformas utilizadas para enviar links para estes formulários maliciosos.

  • Formulários falsos do Google Forms que distribuem ficheiros ZIP maliciosos.
  • Os atacantes fazem-se passar por empresas reais
  • Marcas conhecidas são falsificadas para conferir credibilidade

Os formulários solicitam normalmente informações profissionais (experiência, percurso profissional, etc.), fazendo com que pareçam fazer parte de um processo real de recrutamento ou empresarial.

  • Informações solicitadas ao utilizador para que o formulário pareça legítimo.
    Informações solicitadas ao utilizador para que o formulário pareça legítimo.
  • Informações solicitadas ao utilizador para que o formulário pareça legítimo.
    Mais informações.

Os formulários têm um link para ficheiros ZIP alojados em:

  • Serviços de partilha de ficheiros, como o Dropbox, o filedn.com e o fshare.vn
  • Serviços de encurtamento de URL, como o tr.ee e o goo.su
  • Links de redirecionamento do Google que ocultam o destino final

Os arquivos ZIP utilizam vários nomes e estão associados a diferentes temas empresariais (marketing, entrevistas, projetos, ofertas de emprego, orçamentos, parcerias, benefícios) para evitar suspeitas, por exemplo:

  • {CompanyName}_GlobalLogistics_Ad_Strategy.zip
  • Project_Information_Summary_2026.zip
  • {CompanyName} Project 2026 Interview Materials.zip
  • {CompanyName}_Company_and_Job_Overview.pdf.rar
  • Collaboration Project with {CompanyName} Company 2026.zip

As iscas utilizam os nomes de empresas conhecidas, nomeadamente nos setores financeiro, logístico, tecnológico, da sustentabilidade e da energia. A falsificação da identidade de organizações legítimas confere credibilidade à sua campanha.

O que acontece depois de descarregar o ficheiro

Os arquivos ZIP geralmente contêm ficheiros legítimos (como PDFs de descrições de funções) e um ficheiro executável, juntamente com uma DLL, normalmente denominada msimg32.dll. A DLL é executada através do «sequestro de DLL» (levando um programa legítimo a carregar código malicioso), embora a técnica tenha sofrido várias modificações e atualizações ao longo do tempo.

Alguns ficheiros ZIP contêm PDFs legítimos, como este que finge ser uma descrição de funções de uma empresa real.
Alguns ficheiros ZIP contêm PDFs legítimos, como este que se faz passar por uma descrição de funções real.

Análise da campanha maliciosa

Identificámos várias variantes desta campanha, cada uma utilizando métodos diferentes para extrair o arquivo, código Python distinto e estruturas de pastas variadas. Em todas estas variantes, a campanha inclui normalmente um ficheiro executável, juntamente com uma DLL escondida numa pasta separada. Em alguns casos, os atacantes também incluem ficheiros legítimos relacionados com o tema do isco, reforçando a credibilidade geral do ataque.

Exemplo de ficheiros presentes num dos arquivos analisados.
Exemplo de ficheiros presentes num dos arquivos analisados.

O código malicioso está presente na DLL e executa várias operações, incluindo:

  • Descodificar cadeias de caracteres com um simples XOR, neste caso com a chave «4B».
  • Detecção de depuração e sandboxing com IsDebuggerPresent() e time64(), e exibindo a mensagem de erro «Este software expirou ou foi detetado um depurador» caso seja acionado.
  • Apaga-se a si próprio, depois descarrega e abre um PDF falso.
  • Garantir a persistência através da chave do registo CurrentVersion\Run\Miroupdate.
  • Extrair o arquivo «final.zip» e executá-lo.

Neste caso, o PDF foi iniciado com o seguinte comando:

cmd.exe /c start "" "C:\Users\user\Desktop\Marketing Director Assessment Project\Marketing_Director_Assessment_Project.pdf"

O ficheiro PDF foi aberto durante a cadeia de infeção.
O ficheiro PDF foi aberto durante a cadeia de infeção.

O arquivo final.zip é descompactado através de diferentes comandos nas campanhas analisadas numa pasta aleatória em ProgramData. Neste exemplo, o tar é utilizado o comando:

cmd.exe /c tar -xf "C:\ProgramData\{random folder}\{random folder \final.zip" -C "C:\ProgramData\{random folder \{random folder} " >nul 2>&1

O ficheiro zip contém vários ficheiros relacionados com o Python e a próxima etapa.

Os ficheiros Python foram comprimidos numa pasta aleatória na pasta ProgramData.
Os ficheiros Python foram comprimidos numa pasta aleatória na pasta ProgramData.

A seguir, um script Python ofuscado chamado config.log é executado. Em última análise, descodifica e executa um shellcode Donut. Este script surge com diferentes nomes (por exemplo, image.mp3) e formatos nas diferentes cadeias analisadas.

"C:\ProgramData\{random folder}\{random folder}\pythonw.exe" "C:\ProgramData\{random folder}\{random folder}\config.log"

Script Python ofuscado que, em última análise, carrega o shellcode Donut.
Script Python ofuscado que, em última análise, carrega o shellcode Donut.

No final da cadeia de infecção, o PureHVNC foi injetado em SearchUI.exe. O processo de injeção pode variar entre as amostras analisadas.

O PureHVNC executa as seguintes consultas WMI para recolher informações sobre o dispositivo comprometido:

  • SELECT * FROM AntiVirusProduct
  • SELECT * FROM Win32_PnPEntity WHERE (PNPClass = 'Image' OR PNPClass = 'Camera')
  • SELECT Caption FROM Win32_OperatingSystem

Para garantir a persistência, cria uma tarefa agendada utilizando um comando Base64-PowerShell, com o sinalizador “-RunLevel Highest” se o utilizador tiver direitos de administrador.

Comando do PowerShell para a Tarefa Agendada

O PureHVNC realiza uma varredura para extrair informações relacionadas com vários navegadores, extensões e carteiras de criptomoedas.

Métodos relacionados com a exfiltração de dados de carteiras digitais e navegadores.
Métodos relacionados com a exfiltração de dados de carteiras digitais e navegadores.
Métodos relacionados com a exfiltração de dados de carteiras digitais e navegadores.

A configuração do malware está codificada em Base64 e comprimida com GZIP.

Neste caso, a configuração inclui:

  • C2: 207.148.66.14
  • Portas C2: 56001, 56002, 56003
  • ID da campanha: Default 
  • Bandeira adormecida: 0
  • Caminho de persistência: APPDATA
  • Nome do mutex: Rluukgz 

Como se manter seguro

A utilização do Google Forms é um método altamente eficaz para distribuir malware. Os atacantes aproveitam-se da confiança depositada em ferramentas conhecidas, como o Google Forms, o Dropbox e LinkedIn, e fazem-se passar por empresas legítimas para contornar as suas defesas.

Se lida com ofertas de emprego, parcerias ou projetos online, vale a pena prestar atenção a isto:

  • Verifique sempre a origem dos Formulários do Google, não introduza informações confidenciais e não descarregue ficheiros, a menos que confie plenamente na fonte.
  • Verifique os pedidos através dos canais oficiais da empresa antes de responder.
  • Tenha cuidado com os links escondidos atrás de encurtadores de URL ou redirecionamentos.

Indicadores de compromisso (IOCs)

IP

207.148.66.14

URL

https://goo[.]su/CmLknt7

https://www.fshare[.]vn/file/F57BN4BZPC8W

https://tr[.].ee/R9y0SK

https://dl.dropbox[.]com/scl/fi/52sgtk50j285hmde2ycry/Overview-of-the-MSI-Accounting-Project.rar?rlkey=9qmunvcp8oleeycld08gqwup9

HASH

ca6bd16a6185c3823603b1ce751915eaa60fb9dcef91f764bef6410d729d60b3

d6b7ab6e5e46cab2d58eae6b15d06af476e011a0ce8fcb03ba12c0f32b0e6386

e7b9f608a90bf0c1e477a28f41cb6bd2484b997990018b72a87268bf46708320

e221bb31e3539381d4753633443c1595bd28821ab6c4a89ad00ea03b2e98aa00

7f9225a752da4df4ee4066d7937fe169ca9f28ecddffd76aa5151fb72a57d54b

e0ced0ea7b097d000cb23c0234dc41e864d1008052c4ddaeaea85f81b712d07c

b18e0d1b1e59f6e61f0dcab62fecebd8bcf4eb6481ff187083ea5fe5e0183f66

85c07d2935d6626fb96915da177a71d41f3d3a35f7c4b55e5737f64541618d37

b78514cfd0ba49d3181033d78cb7b7bc54b958f242a4ebcd0a5b39269bdc8357

fe398eb8dcf40673ba27b21290b4179d63d51749bc20a605ca01c68ee0eaebbc

1d533963b9148b2671f71d3bee44d8332e429aa9c99eb20063ab9af90901bd4d

c149158f18321badd71d63409d08c8f4d953d9cd4a832a6baca0f22a2d6a3877

83ce196489a2b2d18a8b17cd36818f7538128ed08ca230a92d6ee688cf143a6c

ea4fb511279c1e1fac1829ec2acff7fe194ce887917b9158c3a4ea213abd513a

59362a21e8266e91f535a2c94f3501c33f97dce0be52c64237eb91150eee33e3

a92f553c2d430e2f4114cfadc8e3a468e78bdadc7d8fc5112841c0fdb2009b2a

4957b08665ddbb6a2d7f81bf1d96d252c4d8c1963de228567d6d4c73858803a4

481360f518d076fc0acb671dc10e954e2c3ae7286278dfe0518da39770484e62

8d6bc4e1d0c469022947575cbdb2c5dd22d69f092e696f0693a84bc7df5ae5e0

258adaed24ac6a25000c9c1240bf6834482ef62c22b413614856b8973e11a79f

Dica profissional: Esta é apenas uma lista parcial de URLs maliciosos. Descarregue o Browser Guard Malwarebytes Browser Guard para obter proteção total e bloquear os restantes domínios maliciosos.

Não nos limitamos a comunicar as ameaças - eliminamo-las

Os riscos de cibersegurança nunca se devem propagar para além de uma manchete. Mantenha as ameaças longe dos seus dispositivos descarregando Malwarebytes hoje mesmo.

Sobre o autor

Gabriele Orini

O Gabriele é um engenheiro de investigação de malware que adora combater o malware. Quando não está a fazer isso, pode encontrá-lo a desfrutar da natureza, da arte e dos animais.

ÚLTIMOS ARTIGOS

Notícias

O seu rosto poderá influenciar o que paga? Nova Iorque quer impor limites ao rastreio biométrico

março 20, 2026

Os legisladores de Nova Iorque estão a pressionar para restringir o rastreio biométrico antes que este se transforme em vigilância no mundo real, na fixação de preços e na criação de perfis de clientes.

Telemóvel
DarkSword para iOS

A DarkSword paira sobre os iPhones sem atualizações

março 19, 2026

Os investigadores identificaram vários ataques a nível estatal que utilizam o DarkSword, uma cadeia de vulnerabilidades, para infetar iPhones sem atualizações de segurança.

Privacy
Golpes fiscais na dark web

Os seus formulários fiscais são vendidos por 20 dólares na dark web

março 19, 2026

A época dos impostos é também a época alta para o roubo de identidade. Malwarebytes detectaram criminosos a comercializar registos fiscais roubados em fóruns da dark web.

Ícone dos contribuidores

Contribuintes

Ícone do Centro de Ameaças

Centro de Ameaças

Ícone de podcasts

Podcast

Ícone do glossário

Glossário

Ícone de burla

Fraudes