Organizações da Bielorrússia, Cazaquistão e Rússia têm sido alvo de uma campanha de phishing conduzida por um grupo de hackers até então desconhecido, chamado ComicForm, desde pelo menos abril de 2025.
Segundo análise da empresa de cibersegurança F6 divulgada na semana passada, a ação foi direcionada principalmente a setores industriais, financeiros, de turismo, biotecnologia, pesquisa e comércio.
A cadeia do ataque começa com o envio de e-mails com assuntos como "Waiting for the signed document", "INvoice for Payment" ou "Reconciliation Act for Signature".
Essas mensagens incentivam os destinatários a abrirem um arquivo compactado no formato RR, que contém um executável para Windows disfarçado de documento PDF — por exemplo, "Акт_сверки pdf 010.exe".
Os e-mails, escritos em russo ou inglês, são enviados a partir de endereços registrados nos domínios .ru, .by e .kz.
O executável é um loader .NET ofuscado que carrega uma DLL maliciosa chamada "MechMatrix Pro.dll".
Esta, por sua vez, executa um payload de terceira etapa, outra DLL chamada "Montero.dll", que funciona como dropper do malware Formbook.
Antes de infectar, o código cria uma tarefa agendada e configura exclusões no Microsoft Defender para evitar a detecção.
Curiosamente, o binário também inclui links para imagens no Tumblr de GIFs inofensivos de super-heróis dos quadrinhos, como Batman — elemento que inspirou o nome do grupo ComicForm.
"Essas imagens não foram usadas em nenhum ataque, apenas fazem parte do código do malware", explicou Vladislav Kugan, pesquisador da F6.
A análise da infraestrutura utilizada pelo ComicForm revelou que, em junho de 2025, e-mails de phishing foram enviados a uma empresa não especificada no Cazaquistão e, em abril do mesmo ano, a um banco bielorrusso.
Ainda em 25 de julho de 2025, a F6 identificou e bloqueou e-mails de phishing destinados a empresas do setor industrial russo, enviados a partir do endereço de uma companhia sediada no Cazaquistão.
As mensagens induziam os alvos a clicarem em um link para confirmar suas contas e evitar um suposto bloqueio.
Quem clicava no link era redirecionado para uma página falsa que simulava o login de um serviço nacional de gestão documental.
O objetivo era capturar credenciais, enviando-as para um domínio controlado pelos atacantes via requisição HTTP POST.
"Além disso, encontramos no corpo da página um código JavaScript que extrai o endereço de e-mail dos parâmetros da URL, preenche o campo de entrada com id='email', extrai o domínio do e-mail e utiliza uma captura de tela do site desse domínio (via API screenshotapi[.]net) como fundo da página de phishing", detalhou Kugan.
No caso do banco bielorrusso, o phishing usou um falso boleto ou fatura para induzir as vítimas a fornecerem endereços de e-mail e números de telefone, que eram capturados e enviados a um domínio externo.
"O grupo ataca empresas russas, bielorrussas e cazaques de diversos setores, e o uso de e-mails em inglês indica que eles também miram organizações em outros países", afirmou a F6.
"Os métodos englobam tanto campanhas de phishing que distribuem o malware FormBook quanto recursos de phishing disfarçados de serviços web para colher credenciais de acesso."
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...