Veil#Drop usa Blogspot como isca digital para distribuir malware e expor riscos de segurança em ambientes corporativos.

Pesquisadores da Securonix identificaram uma nova campanha de malware chamada Veil#Drop que utiliza páginas do Google Blogspot como infraestrutura para entregar o infostealer PureLog Stealer a alvos corporativos. A infecção começa com um arquivo JavaScript disfarçado de PDF, executado silenciosamente pelo Windows, e termina com o roubo de credenciais, cookies, sessões e dados de carteiras de criptomoedas sem deixar rastros visíveis ao usuário.

Uma campanha sofisticada de distribuição de malware está usando a infraestrutura do Google para driblar defesas corporativas. Batizada de Veil#Drop, a operação foi identificada por pesquisadores da Securonix e combina engenharia social, carregadores JavaScript maliciosos e páginas do Blogspot para entregar o PureLog Stealer um infostealer capaz de esvaziar credenciais, sessões ativas e carteiras de criptomoedas em silêncio absoluto.

Como o Veil#Drop enganou as defesas tradicionais

O ataque começa de forma discreta. A vítima recebe um arquivo com nome enganoso como transcript.pdf.js que oculta a extensão real no Windows Explorer. Ao ser aberto, o arquivo é executado pelo Windows Script Host (wscript.exe), que imediatamente dispara um processo PowerShell com bypass da política de execução configurada na máquina.

A partir daí, o Veil#Drop busca os payloads de segundo estágio. E é aqui que a campanha se destaca: os arquivos maliciosos estão hospedados em páginas do Blogspot controladas pelos atacantes. Por se tratar de infraestrutura legítima do Google, o tráfego gerado pelo malware se mistura ao tráfego comum e contorna soluções de segurança baseadas em reputação de domínio uma das defesas mais adotadas em ambientes corporativos.

Os payloads de segundo estágio são assemblies .NET codificados em XOR e embutidos como grandes blocos de dados. Eles são descriptografados e reconstruídos inteiramente em memória, em tempo de execução, o que impede análise estática e frustra ferramentas de endpoint tradicionais.

Sete binários da Microsoft usados como armas

O que torna o Veil#Drop especialmente perigoso para equipes de segurança corporativa é o uso sistemático de LOLBINs binários legítimos da Microsoft abusados como vetores de execução. A campanha utiliza pelo menos sete dessas ferramentas como mecanismos de fallback

Essa abordagem é calculada. Políticas de allowlist e soluções de controle de aplicações são projetadas para bloquear softwares desconhecidos. Quando o malware roda dentro de binários assinados pela Microsoft, ele herda a confiança que a organização já concedeu a essas ferramentas. O ataque não viola as regras ele as usa a seu favor.

Além disso, o framework aplica mutação de código em tempo de execução. O comportamento do malware muda a cada execução, dificultando a criação de assinaturas eficazes por parte dos fornecedores de segurança.

O que o PureLog Stealer coleta e para onde os dados vão

Uma vez instalado, o PureLog Stealer opera sem qualquer impacto visível ao usuário. Não há lentidão, mensagens de erro ou comportamento suspeito perceptível. O malware age em segundo plano, coletando dados de forma metódica.

Os alvos incluem pelo menos cinco navegadores Chrome, Edge, Firefox, Brave e Opera dos quais são extraídos credenciais salvas, cookies de sessão, histórico de autopreenchimento e tokens de autenticação. O infostealer também tem como alvo cinco carteiras de criptomoedas: MetaMask, Exodus, Atomic Wallet, Electrum e Trust Wallet.

O escopo vai além. Aplicativos de mensagens, clientes de e-mail, ferramentas de acesso remoto, clientes FTP e gerenciadores de senhas também estão na lista de alvos. Em um ambiente corporativo, esse conjunto de dados representa acesso potencial a sistemas internos, infraestrutura de nuvem e comunicações executivas.

Todos os dados coletados são criptografados antes de serem enviados para servidores de comando e controle (C2) controlados pelos atacantes. A exfiltração ocorre de forma silenciosa e contínua, e infecções podem permanecer ativas por semanas ou meses sem detecção.

Risco real para líderes de TI e Cibersegurança

Para CISOs e diretores de TI, o Veil#Drop não é apenas mais uma ameaça de infostealer. Ele representa um vetor de acesso inicial que pode escalar para incidentes de maior impacto.

Credenciais corporativas roubadas são o combustível de ataques de ransomware, campanhas de Business Email Compromise (BEC) e operações de espionagem prolongada. Uma única sessão comprometida de um gerente de infraestrutura pode abrir caminho para movimentação lateral em toda a rede.

O contexto agrava a preocupação. Segundo dados da Recorded Future referentes ao primeiro semestre de 2025, o número de CVEs divulgados cresceu 16% em relação ao mesmo período de 2024, com 161 vulnerabilidades vinculadas a campanhas ativas de malware ou ransomware. O volume de ameaças aumenta, e campanhas como o Veil#Drop demonstram que os atacantes estão refinando continuamente suas técnicas de evasão.

A escolha pelo Blogspot como infraestrutura de hospedagem é um sinal claro dessa evolução. Bloquear domínios maliciosos conhecidos não é suficiente quando o payload está sendo servido pela mesma plataforma usada por blogs corporativos e portais de conteúdo legítimos.

As recomendações práticas para equipes de segurança incluem o monitoramento rigoroso de execuções iniciadas por wscript.exe e PowerShell com flags de bypass de política, a inspeção de chamadas a LOLBINs em contextos incomuns, e a adoção de soluções de detecção comportamental capazes de identificar execução em memória e mutação de código. Treinamentos de conscientização que abordem especificamente arquivos com extensões ocultas também são fundamentais para reduzir a taxa de sucesso da fase inicial de engenharia social.

O Veil#Drop é um lembrete de que a infraestrutura confiável pode se tornar um vetor de ataque e que a confiança implícita em plataformas conhecidas precisa ser revisada como parte da estratégia de defesa corporativa.

BANNER CTA ITSUMMIT NACIONAL 2026 1

Assine a nossa News e siga o Itshow em nossas redes sociais para ficar por dentro de todas as notícias do setor de TI e Cibersegurança!