Pesquisadores da SentinelOne revelaram uma ofensiva de spear-phishing batizada de PhantomCaptcha, direcionada a entidades envolvidas em ações humanitárias na guerra da Ucrânia. O ataque, registrado em 8 de outubro de 2025, tentou infectar colaboradores do International Red Cross, Norwegian Refugee Council, UNICEF (escritório da Ucrânia), Registro de Danos do Conselho da Europa para a Ucrânia e administrações regionais ucranianas de Donetsk, Dnipropetrovsk, Poltava e Mikolaev.
Os e-mails se passavam pelo Gabinete do Presidente da Ucrânia e traziam um arquivo PDF de oito páginas com um link embutido. Ao clicar, a vítima era redirecionada para o domínio falso zoomconference[.]app, que exibia uma suposta verificação de Cloudflare. Essa página gerava uma conexão WebSocket com um servidor controlado pelos invasores; se o identificador retornasse compatível, o usuário era conduzido a uma reunião legítima e protegida por senha no Zoom.
Durante o processo, a vítima era instruída a colar um comando PowerShell na janela “Executar” do Windows. O comando descarregava um downloader ofuscado, responsável por obter um segundo estágio de malware capaz de fazer reconhecimento da máquina comprometida. Em seguida, o servidor enviava um trojan de acesso remoto (RAT) baseado em WebSocket.
Segundo a SentinelOne, o RAT se comunica com wss://bsnowcommunications[.]com:80, infraestrutura localizada na Rússia, permitindo execução de comandos arbitrários, exfiltração de dados e eventual instalação de outras pragas. As instruções chegam em mensagens JSON codificadas em Base64 e são executadas pelo PowerShell no sistema alvo.
Infraestrutura preparada com meses de antecedência
Análises em envios ao VirusTotal indicam que o PDF malicioso foi carregado a partir de Ucrânia, Índia, Itália e Eslováquia, sugerindo um alcance amplo. O domínio goodhillsenterprise[.]com, usado para hospedar os scripts PowerShell, foi registrado em 27 de março de 2025. Já o endereço zoomconference[.]app ficou ativo apenas no dia do ataque, evidenciando planejamento cuidadoso e preocupação com a ocultação.
Imagem: Internet
Os pesquisadores também encontraram aplicativos falsos hospedados em princess-mens[.]click, voltados à coleta de geolocalização, contatos, registros de chamadas, arquivos de mídia, lista de apps instalados e outros dados em dispositivos Android.
A SentinelOne não atribuiu a campanha a um grupo específico, embora destaque semelhanças com técnicas vistas em ações recentes do coletivo russo COLDRIVER, especialmente o uso de páginas “ClickFix”.
Com informações de The Hacker News
