Uma campanha atribuída ao cluster UAC-0247 passou a atingir hospitais, clínicas de emergência e órgãos governamentais com malware voltado ao roubo de dados de navegadores baseados em Chromium e do WhatsApp. A atividade foi observada entre março e abril de 2026 e chamou atenção pelo foco em instituições sensíveis e pela combinação de espionagem, movimentação lateral e coleta de credenciais.
A cadeia de infecção começa com e-mails que se apresentam como propostas de ajuda humanitária. As mensagens induzem a vítima a clicar em um link que leva a um site comprometido ou a uma página falsa, criada para parecer legítima e incentivar o download de um arquivo malicioso.
O arquivo baixado é um atalho do Windows no formato LNK. A partir daí, o ataque aciona o utilitário nativo mshta.exe para executar um arquivo HTA remoto, enquanto uma página de isca distrai o usuário. Em segundo plano, o sistema passa a buscar componentes adicionais responsáveis por manter a infecção e abrir comunicação com a infraestrutura dos invasores.
Entre as ferramentas usadas na operação aparecem o backdoor RAVENSHELL e a família de malware AGINGFLY. Juntos, esses componentes permitem receber comandos, atualizar a configuração da campanha e localizar o servidor de comando e controle, inclusive com apoio de canais alternativos.
As investigações indicam que os operadores não se limitam ao roubo inicial de informações. Os incidentes analisados apontam reconhecimento interno da rede, deslocamento lateral entre sistemas e exfiltração de dados sensíveis, o que aumenta o risco de interrupção operacional em ambientes de saúde e administração pública.
O foco em navegadores e no WhatsApp sugere interesse em credenciais, sessões ativas, histórico de comunicação e dados operacionais capazes de apoiar novas intrusões.
