Campanhas miram setores governamentais, militares, energia e organizações ligadas ao apoio à Ucrânia, com iscas possivelmente geradas por LLM e entrega de JavaScript ofuscado por arquivo RAR no Google Drive.
| Componente | Malware CANFAIL, descrito como JavaScript ofuscado que aciona PowerShell e baixa um dropper executado apenas em memória. |
| Vetor | E-mails de phishing com representação de organizações legítimas de energia ucranianas e romenas, contendo links do Google Drive para arquivo RAR com amostra disfarçada por dupla extensão *.pdf.js. |
| Impacto | Acesso não autorizado a contas de e-mail organizacionais e pessoais, execução de malware no endpoint da vítima e ativação de cadeia de dropper em memória. |
| Prioridade | Revisar contas de e-mail visadas, bloquear anexos com dupla extensão, inspecionar downloads de arquivos RAR vindos de links compartilhados e procurar execução anômala de PowerShell iniciada por JavaScript. |
| Artefatos | Iscas de engenharia social, listas de endereços por região e setor, páginas falsas associadas à campanha PhantomCaptcha e instruções no estilo ClickFix. |
| Alvos | Organizações ucranianas de defesa, setor militar, governo e energia, além de interesse em aeroespacial, manufatura ligada a drones, pesquisa nuclear e química, monitoramento de conflito e ajuda humanitária. |
Um ator de ameaça previamente não documentado foi associado a ataques contra organizações ucranianas usando o malware CANFAIL. A atividade foi descrita como possivelmente afiliada a serviços de inteligência russos e concentrada em entidades com valor operacional para o contexto da guerra na Ucrânia. Os alvos centrais incluem defesa, estruturas militares, órgãos governamentais e organizações de energia em níveis regionais e nacionais. A seleção de vítimas também se expandiu para setores com ligação indireta ou estratégica com o conflito, como aeroespacial, manufatura com vínculos militares e de drones, pesquisa nuclear e química, organizações internacionais de monitoramento e entidades humanitárias atuando no apoio à Ucrânia.
A operação combina engenharia social, pesquisa prévia sobre regiões e setores específicos, montagem de listas de endereços de e-mail e entrega de malware por meio de arquivos hospedados em serviço legítimo de compartilhamento. As iscas recentes se passam por organizações nacionais e locais de energia da Ucrânia para induzir acesso indevido a contas de e-mail organizacionais e pessoais. O mesmo ator também se apresentou como uma empresa romena de energia que atende clientes na Ucrânia, mirou uma firma romena e realizou reconhecimento contra organizações da Moldávia.
A atividade chama atenção porque o operador é descrito como menos sofisticado e menos equipado do que outros grupos russos conhecidos, mas passou a usar modelos de linguagem grandes para reduzir limitações técnicas. O uso de LLM aparece no apoio à fase de reconhecimento, na criação de iscas para engenharia social e na busca por respostas sobre questões básicas de pós-comprometimento e configuração de infraestrutura de comando e controle. Esse ponto não transforma o LLM em vetor de ataque por si só; ele indica uso auxiliar para acelerar preparação, redação e tomada de decisão operacional.
A cadeia observada começa com phishing direcionado, alinhado a temas de energia e à realidade operacional de organizações ucranianas. O operador cria listas de destinatários adaptadas a regiões e setores com base em pesquisa prévia, o que aumenta a plausibilidade das mensagens e reduz a aparência de campanha genérica. Em vez de anexar diretamente o malware ao e-mail, a mensagem incorpora links do Google Drive que levam a um arquivo RAR. Esse uso de uma plataforma legítima de armazenamento pode dificultar decisões simples de bloqueio por reputação de domínio, exigindo análise do objeto baixado, do nome do arquivo, do tipo real de conteúdo e do comportamento posterior no endpoint.
Dentro do arquivo comprimido, o CANFAIL aparece normalmente disfarçado com dupla extensão no padrão *.pdf.js, tentando se passar por documento PDF. A presença de .js no final indica um arquivo JavaScript executável no ambiente do usuário, não um documento. O código é ofuscado e foi projetado para chamar PowerShell. A sequência descrita faz o PowerShell baixar e executar um dropper também em PowerShell, mantido apenas em memória. Em paralelo, a vítima visualiza uma mensagem falsa de erro, mecanismo que pode reduzir suspeitas ao sugerir que o arquivo simplesmente falhou ao abrir.
O encadeamento reduz a dependência de artefatos persistentes em disco no estágio de dropper, o que pressiona defesas baseadas apenas em varredura de arquivos. O ponto de observação mais útil passa a ser a relação entre processos, especialmente abertura de JavaScript a partir de diretório de downloads ou extração de RAR, seguida por criação de processo PowerShell, tráfego de download e execução em memória. O contexto também conecta o mesmo ator à campanha PhantomCaptcha, revelada em outubro de 2025, que direcionou organizações ligadas a esforços de ajuda na guerra da Ucrânia para páginas falsas com instruções no estilo ClickFix, usadas para iniciar infecção e entregar um trojan baseado em WebSocket.
A superfície exposta é formada principalmente por usuários que recebem e abrem mensagens com aparência de comunicação legítima de organizações de energia ou entidades relacionadas à Ucrânia. Contas de e-mail organizacionais e pessoais são relevantes porque a campanha busca acesso não autorizado a esses ambientes e usa a confiança da comunicação institucional como parte do vetor. Ambientes nos quais JavaScript local pode ser executado por associação de arquivo, em conjunto com permissões para iniciar PowerShell, ficam mais sensíveis à cadeia descrita.
Setores de defesa, militar, governo e energia devem tratar a atividade como ameaça direcionada quando houver relacionamento com a Ucrânia ou com apoio operacional ao país. A ampliação de interesse para aeroespacial, manufatura associada a drones, pesquisa nuclear e química, monitoramento de conflito e ajuda humanitária indica que organizações fora do núcleo governamental também podem ser visadas quando possuem vínculo técnico, logístico, diplomático ou humanitário com o conflito. A referência a empresa romena e reconhecimento na Moldávia mostra que a atividade não se limita estritamente a domínios ucranianos.
- Usuários que recebem arquivos compactados
RARpor links de compartilhamento associados a temas de energia, governo, ajuda humanitária ou conflito na Ucrânia. - Endpoints capazes de executar JavaScript local com dupla extensão
*.pdf.jse iniciarPowerShella partir desse processo. - Contas de e-mail pessoais e corporativas usadas por organizações ucranianas ou por entidades estrangeiras com relação operacional com a Ucrânia.
- Organizações de energia na Ucrânia e entidades externas usadas como identidade de fachada, incluindo representação de empresa romena com clientes ucranianos.
A detecção deve priorizar correlação entre e-mail, navegação, download, extração de arquivo e criação de processo. Mensagens que usam identidade de organizações de energia, direcionam para Google Drive e resultam em download de RAR merecem análise reforçada, especialmente quando os destinatários pertencem a áreas de defesa, governo, energia, pesquisa, manufatura de uso dual, ajuda humanitária ou monitoramento do conflito. O nome do arquivo e a extensão real são críticos: um suposto PDF com final .js deve ser tratado como execução de script, não como documento.
No endpoint, a cadeia produz sinais em processos-filhos e execução de script. A sequência defensiva a procurar é abertura de arquivo JavaScript vindo de conteúdo comprimido, seguida por PowerShell, download adicional e execução sem artefato evidente em disco para o estágio de dropper. A mensagem falsa de erro exibida à vítima não deve encerrar a investigação, pois ela faz parte do encobrimento de uma execução paralela. Em rede, a presença de tráfego para serviço de armazenamento legítimo não basta para confirmação de infecção, mas ganha peso quando aparece junto de anomalias de execução local.
Para a atividade associada a PhantomCaptcha, a telemetria de navegação pode registrar acesso a páginas falsas com instruções no estilo ClickFix, seguidas por comportamento de ativação da infecção e comunicação de trojan baseado em WebSocket. A investigação deve separar indicadores de tema, como páginas e mensagens de guerra ou ajuda humanitária, de indicadores técnicos, como tipo de arquivo, processo ancestral, criação de PowerShell e comunicação persistente por WebSocket. Essa separação reduz falsos positivos e ajuda a preservar evidência útil para resposta.
- E-mails com temas de energia ucraniana ou empresa romena de energia, enviados a destinatários de setores ligados à Ucrânia.
- Links de compartilhamento que baixam
RARe resultam em arquivo com dupla extensão*.pdf.js. - Processos JavaScript criando
PowerShell, principalmente a partir de diretórios de download, anexos extraídos ou caminhos temporários. - Execução de
PowerShellcom download posterior e comportamento de execução em memória, sem documento PDF válido aberto ao usuário. - Acesso a páginas falsas relacionadas a
PhantomCaptchaou instruções no estiloClickFix, seguido por tráfego compatível com trojan baseado emWebSocket.
A resposta deve começar pela redução do caminho de execução mais provável: bloquear ou isolar arquivos com dupla extensão recebidos por e-mail, restringir execução de JavaScript baixado da internet e revisar políticas que permitem PowerShell iniciado por interpretadores de script em estáções de trabalho comuns. Controles de e-mail devem marcar mensagens com links para arquivos comprimidos em serviços de compartilhamento quando o remetente se passar por organização de energia ou quando o conteúdo mirar setores sensíveis. O objetivo defensivo é quebrar a cadeia antes que o arquivo *.pdf.js seja executado.
Em ambientes já expostos, a investigação precisa cobrir contas de e-mail dos usuários visados, histórico de downloads, extração de arquivos, eventos de processo, navegação e autenticação. Como a campanha busca acesso não autorizado a contas organizacionais e pessoais, a resposta não deve se limitar ao endpoint. Revisão de sessões ativas, regras de encaminhamento, dispositivos vinculados e autenticações incomuns ajuda a identificar abuso de e-mail após o phishing. Quando houver indício de execução do CANFAIL, o host deve ser contido para preservação de evidência e análise da cadeia de processo.
A mitigação também exige conscientização operacional direcionada, sem depender de treinamento genérico. Usuários em áreas de defesa, energia, governo, pesquisa e ajuda humanitária devem reconhecer que arquivos apresentados como PDF, mas terminados em .js, são scripts executáveis. Equipes de segurança devem reforçar que mensagens de erro após abertura de arquivo não provam falha inofensiva, especialmente quando a telemetria mostra execução paralela de PowerShell. Para a vertente PhantomCaptcha, páginas que instruem o usuário a ativar manualmente uma sequência devem ser tratadas como tentativa de transferência da execução para a vítima.
- Bloquear ou colocar em quarentena arquivos com dupla extensão
*.pdf.jsrecebidos por e-mail ou extraídos deRAR. - Criar regra de detecção para JavaScript local iniciando
PowerShell, com prioridade maior quando a origem for download, arquivo comprimido ou link de compartilhamento. - Revisar contas de e-mail de usuários que interagiram com as mensagens, incluindo sessões, regras de encaminhamento, autenticações e dispositivos associados.
- Aplicar contenção em hosts com evidência de execução do
CANFAILe preservar eventos de processo, navegação, download e rede para análise forense. - Tratar instruções do tipo
ClickFixem páginas falsas como sinal de engenharia social para ativação de infecção, não como orientação legítima de suporte.
0 Comentários