Recentemente, um membro da CpC enviou-nos um email com anexo .zip:
(nomes de domain editados com “-“)
https://autoridade-tributaria.-org-/DOC/Comprovativo_Junho_AqTCGGf_23-06-2025_86.php

From: Pedro Miguel Ferreira(pedroferreira.adv@gmail.-com-) 

To: <editado>

Subject: Remeto comprovativo de transferência.25/06/2025 11:19:08 – documento N.º O8JCOZ 

Bom dia, junto envio em anexo o comprovativo de pagamento e o documento N.º O8JCOZ  

Não é necessário responder a este e-mail.

Este endereço de e-mail é utilizado apenas para enviar mensagens automáticas.  

𝘼𝙫𝙞𝙨𝙤 𝙙𝙚 𝘾𝙤𝙣𝙛𝙞𝙙𝙚𝙣𝙘𝙞𝙖𝙡𝙞𝙙𝙖𝙙𝙚:  

Esta mensagem e os anexos podem conter informações confidenciais ou de acesso restrito.

Se não for o destinatário desta comunicação, por favor notifique imediatamente o remetente e apague todas as cópias, sendo proibido divulgar ou utilizar o conteúdo.

O remetente não pode garantir a segurança da informação transmitida eletronicamente.

Com estima e consideração, 

O Advogado,

Pedro Miguel Ferreira”

Neste ficheiro .zip encontrámos um ficheiro malicioso COMPROVATIVO-53878919-JUNHO-3QU34-47L8B – 87.html, revela um ataque de malware avançado disfarçado de comprovativo de transferência bancária.

O .html embutido num .zip, com aparência legítima e conteúdo de email formal.

Este nome de ficheiro simula um comprovativo de pagamento, incentivando a abertura por curiosidade ou urgência.

Indicadores de Comprometimento (IOCs)

Domínios suspeitos contactados:

autoridade-tributaria.-org-

inde-faturas.-com-

URL maliciosa identificada:

Endereços IP relevantes:

91.235.128.91 (autoridade-tributaria.-org-)

34.41.139.193 (inde-faturas.-com-)

Comportamento e Ameaças Detetadas

Táticas MITRE ATT&CK

TA0005 – Defense Evasion: Tentativas de esconder a atividade maliciosa.

TA0007 – Discovery: Enumeração de ambiente local.

TA0011 – Command and Control: Comunicação externa com C2.

Comportamento Malicioso

Executa browsers (Edge, Chrome) para abrir o ficheiro .html (só funciona em Windows)

Contacta servidores de tempo e certificados (legítimos), misturados com domínios suspeitos.

Acede a ficheiros do sistema e preferências de utilizador.

Elimina ficheiros de cache do Chrome e dados de extensões – tentativa de evasão e limpeza de rastros.

Cria objetos do sistema (Mutex) para coordenação de processos maliciosos.

Dropa ficheiro .cab relacionado com certificados, que pode ser usado para introduzir código malicioso.

Potencial de Exploração

Embora não tenha sido detectado por AVs tradicionais, o comportamento identificado por sandboxes indica tentativa de:

Enganar o utilizador com engenharia social.

Estabelecer persistência ou exfiltrar dados.

Comunicar com domínios suspeitos registados para parecerem portugueses.

CVE’s Referenciadas

Estas CVEs aparecem possivelmente por tentativas de exploração durante uma análise heurística:

CVE-2004-1060 / CVE-2004-0790 / CVE-2005-0068: Antigas vulnerabilidades em browsers e leitores de HTML (ex: IE).

CVE-2015-7759: Falha em validação de certificados.

Estas referências podem não significar que foram efetivamente exploradas, mas sim que o ficheiro exibe características de exploits conhecidos.

Recomendações

Para Equipas de Suporte de IT

Bloquear os domínios:

autoridade-tributaria.-org-

inde-faturas.-com-

Atualizar listas de IOC com o hash, domínios e IPs referidos.

Monitorizar tráfego DNS/HTTP para os JA3 digests e destinos mencionados.

Reforçar filtragem de ZIPs com HTML embutidos em gateways de email.

Educar utilizadores sobre campanhas de phishing com temas de transferências e pagamentos.

Para o Utilizador Final

Não abrir ficheiros HTML anexados em ZIPs de remetentes desconhecidos, especialmente com mensagens de urgência ou de “pagamento”.

Em caso de dúvida, validar com o remetente por outro canal.