Criminosos Exploitam Facebook para Propagar Vírus Camuflado como Leitor de PDF

Grupo norte-coreano estabeleceu confiança através do Messenger, transferiu a conversa para o Telegram e enviou um instalador manipulado do Wondershare PDFelement com código malicioso embutido.

O grupo norte-coreano APT37, conhecido como ScarCruft, está vinculado a uma campanha de espionagem digital. A incursão começa no Facebook e culmina na instalação silenciosa do RokRAT, um trojan que fornece acesso remoto e é voltado para a coleta de dados.

Uma análise da Genians Security Center (GSC), empresa sul-coreana de segurança cibernética, revelou que os atacantes criaram duas contas no Facebook — “richardmichael0828” e “johnsonsophia0414” — com a localização definida como Pyongyang e Pyongsong, na Coreia do Norte.

Ambas as contas foram criadas no mesmo dia, 10 de novembro de 2025, o que sugere que a operação foi coordenada por um único agente ou equipe.

Fluxo total do ataque: o APT37 utiliza Facebook e Telegram para enviar um instalador manipulado do PDFelement à vítima; o RokRAT instalado extrai dados para o Zoho WorkDrive via API OAuth2. Imagem: Genians Security Center.

Pedido de amizade se torna vetor de ataque

A estratégia segue um roteiro de engenharia social em várias fases. Inicialmente, as vítimas recebem solicitações de amizade. Após estabelecer um relacionamento de confiança via Messenger, a conversa é transferida para o Telegram, onde um arquivo ZIP intitulado “m.zip” é entregue.

O pacote contém um executável malicioso disfarçado de leitor de PDF, além de quatro documentos PDF com títulos militares que funcionam como isca e um arquivo de instruções em texto.

Os criminosos alegam que os documentos contêm materiais confidenciais sobre armamentos militares. Para convencer a vítima a executar o arquivo, afirmam que os arquivos estão criptografados, necessitando de um visualizador específico para serem abertos. Essa técnica, chamada pretexting, cria um cenário falso para induzir a vítima a executar um programa malicioso.

O arquivo de instruções continha marcas linguísticas do norte-coreano, como “programa” e “arquivo”. Imagem: Genians Security Center.

Instalador manipulado, código malicioso embutido

O executável enviado é uma versão manipulada do Wondershare PDFelement, um leitor de PDF legítimo. O arquivo original possui uma assinatura digital válida, enquanto a versão maliciosa, renomeada como “Wondershare_PDFelement_Installer(PDF_Security).exe”, não possui assinatura.

Os atacantes mantiveram a função principal do instalador e alteraram apenas o ponto de entrada. Isso redireciona a execução para um código malicioso de cerca de 2 KB, inserido em uma seção não utilizada do código. Essa técnica é conhecida como code cave injection ou PE patching.

O APT37 manipulou o instalador legítimo do Wondershare PDFelement, mantendo a aparência do programa original para não levantar suspeitas durante sua execução. Imagem: Genians Security Center.

URL disfarçada de imagem JPG

A URL de comando e controle (C2) embutida no código malicioso aponta para “japanroom[.]com”, um site vinculado a um serviço imobiliário japonês em Seul. O domínio legítimo foi comprometido e utilizado como infraestrutura de ataque.

A requisição ao servidor busca um arquivo intitulado “1288247428101.jpg” — a extensão “.jpg” é utilizada para disfarçar o tráfego malicioso como uma requisição de imagem comum, contornando filtros de URL e monitoramento de rede. O conteúdo verdadeiro é um payload de segundo estágio criptografado com XOR, executado diretamente na memória sem ser gravado em disco, uma técnica fileless que dificulta a detecção por soluções baseadas em análise de arquivos.

RokRAT via Zoho WorkDrive

O payload final é o RokRAT, um backdoor consolidado do APT37. Na mesma campanha, ele utiliza a API OAuth2 do Zoho WorkDrive, uma plataforma de armazenamento e colaboração online, como canal de C2. O tráfego para serviços em nuvem legítimos é difícil de distinguir da atividade corporativa normal.

Diagrama técnico do código malicioso injetado no instalador manipulado: o código malicioso é executado antes da instalação legítima, criando o processo “dism.exe” em estado suspenso, injetando o payload via XOR e devolvendo o controle ao instalador original. Imagem: Genians Security Center

As credenciais OAuth2 estão codificadas no binário. O malware captura screenshots da área de trabalho, executa comandos remotos via “cmd.exe”, coleta informações como nome do computador, versão do Windows, endereço IP público e geolocalização, além de exfiltrar documentos com extensões como “.DOC”, “.XLS”, “.PDF”, “.HWP” e arquivos de áudio “.M4A” e “.AMR”. Todos os dados são criptografados com AES-256-CBC antes de serem enviados.

Para evasão, o RokRAT verifica a existência do “360Tray.exe”, um componente do antivírus Qihoo 360, e utiliza 21 strings diferentes de User-Agent para camuflar o tráfego de rede como atividade normal de navegador.

A GSC identificou uma alta similaridade de código com uma variante do RokRAT rastreada em dezembro de 2025, o que reforça a atribuição ao APT37. O grupo já havia utilizado Dropbox, pCloud e Yandex Cloud em campanhas anteriores — a escolha do Zoho WorkDrive segue a mesma lógica de empregar infraestrutura legítima para ocultar comunicações maliciosas.

Acompanhe o TecMania nas redes sociais. Para mais novidades de tecnologia e segurança, inscreva-se em nosso canal do YouTube e nossa newsletter.