Uma campanha de phishing altamente sofisticada está usando convites falsos do Zoom para distribuir malware direcionado a entidades internacionais de ajuda humanitária e órgãos diplomáticos. A operação, batizada de PhantomCaptcha, tem como principal objetivo espionar comunicações e roubar informações sensíveis de organizações que atuam em apoio à Ucrânia. De acordo com a empresa de cibersegurança SentinelOne, os ataques tiveram como alvo instituições como a Cruz Vermelha, o UNICEF e o Conselho da Europa. Os e-mails foram enviados em nome do gabinete do presidente ucraniano, convidando os destinatários para uma suposta reunião online sobre assistência humanitária.
As mensagens incluíam arquivos PDF com links maliciosos, que redirecionavam as vítimas para o domínio fraudulento “zoomconference.app”. Ao clicar, o usuário era levado a uma página que imitava o serviço de segurança Cloudflare, onde scripts em PowerShell eram executados para instalar o malware principal da campanha, um cavalo de troia de acesso remoto (RAT). Uma vez instalado, o trojan se conecta aos servidores dos invasores por meio de WebSocket, permitindo execução de comandos remotos, exfiltração de dados e download de novas cargas maliciosas. Segundo os pesquisadores, a infraestrutura usada no ataque foi rastreada até servidores hospedados na Rússia, o que levanta suspeitas de envolvimento de grupos alinhados a interesses estatais. A operação foi descrita como altamente planejada e meticulosa, com indícios de que os criminosos prepararam a campanha por mais de seis meses.
Cada detalhe, desde os domínios falsos até a aparência dos PDFs e páginas de login, foi criado para enganar profissionais de alto escalão que atuam em operações de ajuda internacional. Esse tipo de ataque representa uma ameaça crescente ao setor humanitário, já que organizações de auxílio frequentemente operam em zonas de conflito, onde medidas de segurança digital são mais frágeis e a troca de informações por e-mail é intensa. As credenciais e comunicações roubadas podem ser usadas em espionagem política ou sabotagem de operações logísticas.
