Especialistas GSOC Descobrem Ataque de Phishing Utilizando a Marca GIS DAYS
Analistas da GSOC identificaram uma campanha de phishing sofisticada que se apropria da identidade do evento GIS DAYS. Os atacantes utilizam documentos PDF falsificados e arquivos executáveis disfarçados para distribuir malware, visando comprometer sistemas corporativos.
MundiX News·13 de julho de 2026·5 min de leitura·👁 1 views
No início de julho, os especialistas em segurança da GSOC (Global Security Operations Center) detectaram uma campanha de phishing que explorava a marca do evento GIS DAYS (Global Information Security Days). O ataque se iniciou com o recebimento de um e-mail proveniente de um endereço externo, annaborisova.official@mail[.]ru, com o assunto "Convite para GIS DAYS 2026 – fórum de segurança da informação". Dentro do e-mail, havia um arquivo PDF contendo um convite e um arquivo compactado protegido por senha, que, por sua vez, continha arquivos executáveis (.exe).
O documento PDF foi meticulosamente elaborado para se passar por um convite legítimo. Ele incorporava o logotipo atual do evento, um certificado de assinatura eletrônica forjado e informações públicas relevantes sobre o fórum, além de ostentar o nome do CEO como remetente. A senha para descompactar o arquivo era fornecida no final do PDF. O arquivo compactado continha dois executáveis: "GISDAYS_2026_Convite_de_Convidado_para_representantes_de_empresas.exe" e "GISDAYS_2026_para_líderes_de_TI_e_IS_direções_e_temas_do_fórum.exe". Análises em sandbox revelaram que ambos os arquivos eram classificados como malware do tipo Trojan.
Após a execução do Trojan, o malware iniciava um processo de persistência através da criação de quatro tarefas agendadas em uma sequência específica. A primeira tarefa, denominada "MicrosoftEdgeUpdateTaskUser", era responsável por baixar um arquivo compactado contendo OpenSSH de um servidor de Comando e Controle (C2) localizado no IP 170.168.1[.]66, utilizando o protocolo SCP. Em seguida, a tarefa "MicrosoftEdgeUpdateTaskUserDev" era criada para descompactar o arquivo baixado com o cmdlet Expand-Archive. A terceira tarefa, "UpdateBUS", estabelecia uma conexão SSH com um servidor C2 no IP 89.23.116[.]183. Finalmente, a tarefa "MicrosoftEdgeUpdateTaskKernel" era encarregada de iniciar o servidor OpenSSH. Notavelmente, todas essas tarefas foram disfarçadas para se assemelharem a processos legítimos da Microsoft, utilizando nomes que incluíam "Microsoft". Para desviar a atenção do usuário, o malware, ao final de sua execução, utilizava o explorer.exe para abrir documentos a partir do domínio externo kazansky.camdvr[.]org.
Os pesquisadores não pararam na análise inicial. Ao investigar o domínio onde os PDFs de isca estavam hospedados, descobriram que sua reputação era negativa entre vários fornecedores de segurança. A análise revelou que dois outros artefatos maliciosos, associados a este domínio, apresentavam comportamento semelhante. Esses artefatos também criavam iscas para o usuário, mas direcionavam para documentos diferentes, como um memorando sobre outro fórum de segurança. A análise de outros exemplos de campanhas semelhantes, com informações sobre diferentes fóruns, sugeriu que esta campanha de phishing poderia estar ativa desde 22 de maio de 2026, com base nos nomes dos arquivos PDF encontrados no domínio kazansky.camdvr[.]org.
Para mitigar riscos contra ataques de phishing como este, a GSOC recomenda verificar rigorosamente o remetente de e-mails, evitar o download de anexos de fontes suspeitas, implementar um gateway de e-mail seguro e bloquear IPs e domínios maliciosos conhecidos. Os indicadores de comprometimento (IoCs) identificados incluem hashes de arquivos, endereços IP e domínios associados à campanha, que foram disponibilizados para auxiliar na detecção e prevenção.
🛡️⚡
Pare de pesquisar. Comece a hackear.
O MundiX é seu copiloto de pentest com IA: comandos exatos, análise de outputs e próximo passo na kill chain — em segundos.
Sem cartão para começar · Planos a partir de R$49/mês
No início de julho, os especialistas em segurança da GSOC (Global Security Operations Center) detectaram uma campanha de phishing que explorava a marca do evento GIS DAYS (Global Information Security Days). O ataque se iniciou com o recebimento de um e-mail proveniente de um endereço externo, annaborisova.official@mail[.]ru, com o assunto "Convite para GIS DAYS 2026 – fórum de segurança da informação". Dentro do e-mail, havia um arquivo PDF contendo um convite e um arquivo compactado protegido por senha, que, por sua vez, continha arquivos executáveis (.exe).
O documento PDF foi meticulosamente elaborado para se passar por um convite legítimo. Ele incorporava o logotipo atual do evento, um certificado de assinatura eletrônica forjado e informações públicas relevantes sobre o fórum, além de ostentar o nome do CEO como remetente. A senha para descompactar o arquivo era fornecida no final do PDF. O arquivo compactado continha dois executáveis: "GISDAYS_2026_Convite_de_Convidado_para_representantes_de_empresas.exe" e "GISDAYS_2026_para_líderes_de_TI_e_IS_direções_e_temas_do_fórum.exe". Análises em sandbox revelaram que ambos os arquivos eram classificados como malware do tipo Trojan.
Após a execução do Trojan, o malware iniciava um processo de persistência através da criação de quatro tarefas agendadas em uma sequência específica. A primeira tarefa, denominada "MicrosoftEdgeUpdateTaskUser", era responsável por baixar um arquivo compactado contendo OpenSSH de um servidor de Comando e Controle (C2) localizado no IP 170.168.1[.]66, utilizando o protocolo SCP. Em seguida, a tarefa "MicrosoftEdgeUpdateTaskUserDev" era criada para descompactar o arquivo baixado com o cmdlet Expand-Archive. A terceira tarefa, "UpdateBUS", estabelecia uma conexão SSH com um servidor C2 no IP 89.23.116[.]183. Finalmente, a tarefa "MicrosoftEdgeUpdateTaskKernel" era encarregada de iniciar o servidor OpenSSH. Notavelmente, todas essas tarefas foram disfarçadas para se assemelharem a processos legítimos da Microsoft, utilizando nomes que incluíam "Microsoft". Para desviar a atenção do usuário, o malware, ao final de sua execução, utilizava o explorer.exe para abrir documentos a partir do domínio externo kazansky.camdvr[.]org.
Os pesquisadores não pararam na análise inicial. Ao investigar o domínio onde os PDFs de isca estavam hospedados, descobriram que sua reputação era negativa entre vários fornecedores de segurança. A análise revelou que dois outros artefatos maliciosos, associados a este domínio, apresentavam comportamento semelhante. Esses artefatos também criavam iscas para o usuário, mas direcionavam para documentos diferentes, como um memorando sobre outro fórum de segurança. A análise de outros exemplos de campanhas semelhantes, com informações sobre diferentes fóruns, sugeriu que esta campanha de phishing poderia estar ativa desde 22 de maio de 2026, com base nos nomes dos arquivos PDF encontrados no domínio kazansky.camdvr[.]org.
Para mitigar riscos contra ataques de phishing como este, a GSOC recomenda verificar rigorosamente o remetente de e-mails, evitar o download de anexos de fontes suspeitas, implementar um gateway de e-mail seguro e bloquear IPs e domínios maliciosos conhecidos. Os indicadores de comprometimento (IoCs) identificados incluem hashes de arquivos, endereços IP e domínios associados à campanha, que foram disponibilizados para auxiliar na detecção e prevenção.
📤 Compartilhar & Baixar
🧰 Ferramentas recomendadas
Divulgação: alguns links são patrocinados. Podemos receber comissão se você comprar — sem custo extra para você. Só indicamos o que faz sentido para a comunidade.