A crescente sofisticação das metodologias de ataque de malware tem vindo a explorar funcionalidades legítimas de ferramentas de gestão remota e de partilha de ficheiros para fins maliciosos. A equipa de Resposta a Incidentes da FortiMail identificou uma nova campanha de ciberameaças que está a afetar organizações em Portugal, Espanha e Itália, abrangendo vários setores de atividade.
Estas campanhas, configuradas para aparentar serem remetentes autorizados e passando nos controlos SPF (Sender Policy Framework), tiram partido de serviços legítimos como Dropbox, MediaFire e Google Drive. O objetivo é induzir os utilizadores a descarregar e executar ficheiros, como uma suposta fatura de tratamentos clínicos, facilitando assim a propagação de malware do tipo Remote Access Trojan (RAT).
Engenharia social e identidade forjada
A primeira fase do ataque chega sob a forma de um email aparentemente legítimo, proveniente de um domínio fidedigno e que ultrapassa com sucesso os testes de SPF, evitando assim suspeitas nos filtros tradicionais. O assunto e o conteúdo do email apelam à urgência, solicitando a verificação de duas faturas – uma prática comum para pressionar os destinatários a agir rapidamente sem confirmar a autenticidade da mensagem.
O anexo em PDF refere dificuldades de visualização e incentiva o utilizador a clicar num botão, que redireciona para um ficheiro HTML com instruções para um novo download. Este HTML simula uma verificação CAPTCHA e, após este passo, conduz o utilizador a um link gerado via Ngrok, que aparenta ser legítimo mas, na realidade, leva ao ficheiro malicioso.
Os atacantes utilizam o Ngrok para gerar URLs dinâmicas, facilitando a evasão aos mecanismos de filtragem de segurança do correio eletrónico. Uma das técnicas centrais é a camuflagem geográfica, apresentando conteúdos distintos conforme a localização do utilizador.
Segmentação geográfica e uso de plataformas legítimas
O recurso a plataformas como MediaFire e Dropbox visa aumentar a taxa de sucesso e reduzir a suspeição. A principal preocupação reside na utilização de geofencing: ao clicar no link, utilizadores fora dos países-alvo (Itália, Portugal e Espanha) são redirecionados para páginas inofensivas, enquanto apenas os utilizadores localizados nas regiões-alvo recebem o ficheiro malicioso.
O ficheiro, designado “FA-43-03-2025.jar”, corresponde a um Java RAT conhecido como Ratty. Esta ameaça é versátil, capaz de operar em diferentes sistemas operativos e executar ações como captura de ecrã, registo de teclas e exfiltração de dados sensíveis.
Portugal no radar dos atacantes
Entre os alvos identificados, destaca-se a simulação de uma fatura emitida por uma entidade do setor da saúde, como o Grupo Medinova. O uso indevido desta identidade demonstra a crescente sofisticação das campanhas de phishing, que já não se limitam a erros ortográficos ou domínios obscuros, mas imitam organizações de confiança para maximizar o impacto.
A fatura, aparentemente legítima e partilhada via Google Drive, não levanta suspeitas durante a verificação do correio eletrónico, conseguindo ultrapassar os mecanismos de segurança sem indícios de intenção maliciosa. Contudo, quando o acesso é feito a partir de Itália, o URL altera-se, levando ao download de um ficheiro JAR malicioso.
O que distingue esta campanha de correio eletrónico é a combinação de múltiplas táticas para evitar a deteção e explorar plataformas de confiança. A estratégia multicamadas recorre a técnicas de engenharia social para manipular os destinatários e levá-los a clicar em links maliciosos.
Resposta recomendada e reforço da ciberresiliência
A Fortinet recomenda que as organizações reforcem os seus sistemas de filtragem de email, implementem soluções avançadas de deteção e resposta, e invistam na formação contínua dos colaboradores, que constituem a primeira linha de defesa. A prevenção continua a ser a melhor proteção.
Esta campanha representa um alerta claro: o email mantém-se como o vetor de ataque preferencial dos cibercriminosos. Só uma abordagem integrada – tecnologia, formação e monitorização – permite antecipar e neutralizar estas ameaças antes de causarem danos significativos.
