Um novo malware chamado “NordDragonScan” está sendo usado em uma campanha de ataques contra usuários do Windows, com foco no roubo de credenciais, dados de navegadores e documentos sensíveis armazenados nos sistemas comprometidos. O ataque começa com links encurtados que redirecionam as vítimas para sites de compartilhamento de arquivos que parecem legítimos. Lá, o usuário é induzido a baixar arquivos compactados (RAR) com nomes em ucraniano, simulando documentos oficiais.
Dentro do pacote, há um atalho LNK malicioso que executa o utilitário mshta.exe do Windows para rodar um script HTA oculto. Esse método permite aos invasores usar ferramentas legítimas do sistema para escapar da detecção por antivírus. Uma vez executado, o malware copia o PowerShell.exe para uma pasta pública e o renomeia como “install.exe” para disfarçar sua presença. A partir daí, começa a coletar informações detalhadas do sistema: captura telas, extrai dados completos dos navegadores Chrome e Firefox (incluindo senhas salvas e histórico) e procura arquivos com extensões como .docx, .xls, .pdf, .ovpn, .rdp e .txt nas pastas Desktop, Documents e Downloads.
O NordDragonScan também realiza reconhecimento da rede local, mapeando adaptadores, calculando intervalos de endereços e sondando outros dispositivos conectados. Para garantir persistência, ele cria entradas no registro do Windows e estabelece comunicação criptografada com um servidor de comando remoto, que coleta os dados e monitora o estado dos sistemas infectados. Especialistas alertam que esse tipo de ameaça destaca a importância de cautela ao abrir atalhos LNK e arquivos compactados de fontes desconhecidas. Recomenda-se o uso de ambientes isolados para testar arquivos suspeitos, atualização constante de sistemas e antivírus, além de treinamentos para evitar golpes de engenharia social. O NordDragonScan reforça o avanço das ameaças persistentes que visam tanto usuários individuais quanto redes corporativas.
