Capcana care arată ca o somație legală: noua campanie de phishing care fură date fără să lase urme evidente
' fill='%23FBBC05' d='M0 37V11l17 13z'/%3e%3cpath clip-path='url(%23b)' fill='%23EA4335' d='M0 11l17 13 7-6.1L48 14V0H0z'/%3e%3cpath clip-path='url(%23b)' fill='%2334A853' d='M0 37l30-23 7.9 1L48 0v48H0z'/%3e%3cpath clip-path='url(%23b)' fill='%234285F4' d='M48 48L17 24l-4-3 35-10z'/%3e%3c/svg%3e){kind=small}
:format(webp)/https://playtech.ro/wp-content/uploads/2026/03/hacker-cropped.jpg)
O nouă campanie de atac cibernetic arată cât de repede pot deveni periculoase cele mai banale emoții umane din inbox: frica, panica și impulsul de a reacționa imediat când vezi o amenințare legală. Cercetători în securitate avertizează că atacatori necunoscuți trimit notificări false de încălcare a drepturilor de autor pentru a păcăli angajați din domenii sensibile să deschidă fișiere malițioase. În locul unei somații reale, victima pornește, de fapt, un lanț complex de infectare care instalează PureLog Stealer, un malware specializat în furtul de date. Campania a fost analizată de Trend Micro, iar relatarea a fost preluată și de presa de specialitate, care subliniază că țintele au inclus organizații din sănătate, administrație, educație și ospitalitate.
Ceea ce face această operațiune atât de periculoasă nu este doar tema folosită, ci modul în care a fost construită de la un capăt la altul pentru a evita detecția. Nu vorbim despre un malware trimis în masă, în aceeași formă, către mii de inboxuri. Cercetătorii descriu o campanie mult mai atentă, cu livrare localizată, adaptată limbii victimei și cu un lanț de execuție în mai multe etape, gândit să ruleze în memorie și să lase cât mai puține urme pe disc. Asta o transformă dintr-un simplu spam rău făcut într-o amenințare reală, capabilă să treacă de filtre și să păcălească inclusiv organizații cu minime măsuri de securitate.
Cum funcționează capcana și de ce pare credibilă
Atacul pornește de la un email care mimează o notificare juridică legată de un presupus abuz de copyright. Mecanismul de social engineering este vechi, dar încă extrem de eficient: victima primește un mesaj care sugerează o încălcare legală, deci o posibilă amendă, o plângere sau o consecință administrativă. În loc să trateze mesajul cu suspiciune, mulți utilizatori reacționează rapid, mai ales în companii unde orice reclamație legală pare urgentă și sensibilă. Trend Micro spune că atacatorii au folosit inclusiv variante lingvistice adaptate local, ceea ce le-a crescut șansele de reușită și a făcut mesajele să pară mai autentice. Activitatea observată a vizat mai ales organizații din Germania și Canada, dar și entități din SUA și Australia.
După interacțiunea inițială, victima ajunge la o arhivă comprimată care conține ceea ce pare a fi un document benign, de regulă un PDF, plus fișiere auxiliare necesare execuției și un instrument legitim redenumit, precum WinRAR, folosit pentru extragere și lansare. Tocmai aici este una dintre marile probleme: utilizatorul nu vede o semnătură clară de malware clasic, ci un ansamblu de fișiere care pare plauzibil într-un context administrativ sau juridic. În plus, întregul flux este gândit să reducă expunerea componentelor reale ale atacului până în ultimele momente ale lanțului de infectare.
:format(webp)/https://playtech.ro/wp-content/uploads/sfm/2026/06/1748332487/f45a704000125a6d5e7f11e1ed95770f-t.jpg)
Mai departe, atacul intră într-o zonă mult mai sofisticată. Trend Micro descrie un proces în două mari etape de încărcare, pornind cu un loader bazat pe Python, care verifică mediul pentru a detecta sandboxuri sau mașini virtuale. Apoi urmează două loadere succesive în .NET, menite atât să decripteze componentele următoare, cât și să ascundă fluxul real de execuție. Acest design cu mai multe straturi nu este doar complicat de dragul complexității. El are rolul de a fragmenta analiza și de a întârzia momentul în care soluțiile de securitate sau analiștii pot vedea malware-ul final în forma sa activă.
De ce PureLog e periculos chiar dacă nu este un nume la fel de celebru ca altele
PureLog Stealer nu este poate cel mai cunoscut nume pentru publicul larg, dar exact asta îl face interesant pentru atacatori. Este descris drept un infostealer accesibil, ieftin și relativ ușor de folosit, ceea ce înseamnă că nu este rezervat exclusiv grupărilor de elită. În lumea criminalității cibernetice, astfel de instrumente sunt extrem de valoroase pentru că pot fi puse rapid la muncă de actori cu resurse moderate, dar cu obiective foarte concrete: furt de credențiale, compromiterea conturilor și pregătirea unor atacuri secundare. Cercetătorii notează că, odată activat, PureLog poate colecta credențiale din Chrome, informații despre extensii, date de sistem și date din portofele de criptomonede.
Și mai grav este modul în care malware-ul este livrat și executat. Cercetătorii spun că payloadul final este rulat direct în memorie, ceea ce înseamnă că lasă puține artefacte pe disc și poate evita multe dintre controalele tradiționale. Cheile de decriptare sunt preluate la runtime de pe un server la distanță, astfel încât componentele să rămână criptate atunci când nu rulează. Acest detaliu este esențial: împiedică extragerea ușoară a malware-ului final și complică foarte mult analiza statică. Atacul mai include și bypass pentru AMSI, interfața de scanare antimalware din Windows, precum și tehnici anti-VM și obfuscare intensă. Toate acestea arată că autorii campaniei nu mizează doar pe prostia victimei, ci și pe slăbiciunile vizibilității defensive.
:format(webp)/https://playtech.ro/wp-content/uploads/2026/06/retea-wifi-publica-316x158.jpg)
:format(webp)/https://playtech.ro/wp-content/uploads/2026/06/parola-securitate-passkey-316x158.jpg)
După compromis, problema nu se oprește la un simplu furt de parole. Trend Micro arată că malware-ul poate stabili persistență prin modificări în registry, poate face capturi de ecran, poate profila sistemul și poate extrage o varietate de informații sensibile. În practică, un astfel de acces poate duce la preluarea unor conturi, la mișcare laterală în rețea, la compromiterea altor servicii și, în unele cazuri, la pregătirea unui incident mult mai mare decât părea inițial. Exact de aceea infostealer-ele sunt tratate tot mai des nu ca un incident minor, ci ca un punct de intrare pentru lanțuri de atac mai ample.
Ce spune această campanie despre noua generație de phishing
Poate cel mai important aspect al întregii povești este că ea reflectă o schimbare clară de strategie. Trend Micro spune explicit că activitatea observată sugerează o mutare de la distribuția largă și oportunistă de malware către țintire mai selectivă, cu o victimologie atent aleasă și cu un cadru de livrare evaziv, bine structurat. Asta înseamnă că atacatorii nu mai încearcă doar să trimită milioane de mesaje și să spere că cineva cade în plasă. Ei aleg domenii unde presiunea administrativă și legală are greutate, unde angajații sunt predispuși să reacționeze rapid și unde datele furate pot avea valoare mare.
Domeniile vizate spun și ele multe. Sănătatea, guvernul, educația și ospitalitatea nu au în comun doar volume mari de date, ci și ecosisteme IT adesea eterogene, uneori cu software vechi, proceduri inegale și personal care nu este instruit uniform. În astfel de medii, un email care pare legal poate provoca panică și poate sări peste filtrele instinctive ale utilizatorului. Mai grav, chiar dacă infrastructura tehnică este decentă, campaniile fileless și cu execuție în memorie pun o presiune mare pe echipele de apărare, pentru că detecția bazată doar pe semnături și fișiere nu mai este suficientă.
Aici apare și lecția de fond. Atacurile moderne nu mai sunt doar despre atașamente dubioase și greșeli evidente de gramatică. Pot fi localizate, curate, bine ambalate și tehnic sofisticate. Tocmai de aceea, recomandările experților merg dincolo de clasica idee de „nu da click”. Se vorbește despre filtrarea și sandboxarea mesajelor cu amenințări legale și atașamente, despre controlul strict al execuției Python pe endpointuri, despre allowlisting pentru scripturi și binare și despre folosirea EDR/XDR cu scanare de memorie și detecție comportamentală. Cu alte cuvinte, apărarea reală nu mai poate fi doar educație de bază, ci trebuie să combine utilizatori atenți cu telemetrie bună și vânătoare proactivă de amenințări.
De ce subiectul ar trebui să sperie mai mult companiile decât utilizatorii individuali
Deși oricine poate fi păcălit de un email bine scris, această campanie pare gândită mai ales pentru organizații unde un mesaj cu ton juridic poate declanșa reacții rapide și unde valoarea datelor furate este semnificativă. În spitale, instituții publice, școli, universități sau lanțuri hoteliere, o singură compromitere poate deschide ușa spre conturi administrative, documente interne, informații despre clienți sau infrastructură critică. De aceea astfel de atacuri trebuie tratate nu ca simple incidente de mail, ci ca riscuri operaționale reale.
În final, această campanie este relevantă tocmai pentru că arată cât de ușor poate fi transformat un reflex birocratic într-o breșă de securitate. O notificare de copyright pare, la suprafață, o problemă de legal, nu una de IT. Exact de aceea funcționează. Iar când în spatele ei stă un lanț de execuție în memorie, cu loaders în Python și .NET, chei decriptate la runtime și un infostealer pregătit să-ți golească browserul, portofelele și informațiile de sistem, devine clar că phishingul modern nu mai este deloc „doar phishing”. Este, din ce în ce mai des, ușa discretă prin care intră următorul incident serios.
:format(webp)/https://playtech.ro/wp-content/uploads/sfm/2026/06/1667480684/21f616a2c2c02d0de4125ef4f643382d-o.jpg)
:format(webp)/https://playtech.ro/wp-content/uploads/sfm/2026/06/1737978465/545b4fe2918032f81576b0cf3d003ad7-o.jpg)
:format(webp)/https://playtech.ro/wp-content/uploads/sfm/2026/06/1737972417/d34b1ae54d22d175ed204372e2e3bc2b-o.jpg)
:format(webp)/https://playtech.ro/wp-content/uploads/sfm/2026/06/1646818613/86c4c977268056b26ad8d0d4639cc99b-o.jpg)
:format(webp)/https://playtech.ro/wp-content/uploads/sfm/2026/06/1683783849/d3c5287494db9fc3e7a70a519b48fcf2-o.png)
:format(webp)/https://playtech.ro/wp-content/uploads/sfm/2026/04/1610191967/3e1e9c8604d18a7adf9a19a95f891678-o.jpg)
:format(webp)/https://playtech.ro/wp-content/uploads/sfm/2026/06/1778138107/1b87f4e281293eaf658f8a31f7af0ad8-o.jpg)
:format(webp)/https://playtech.ro/wp-content/uploads/sfm/2026/06/1778137329/a2b4b7b9fbd8f37608e147347361fed7-o.jpg)
:format(webp)/https://playtech.ro/wp-content/uploads/2026/06/profimedia-0439149808-scaled.jpg)
:format(webp)/https://playtech.ro/wp-content/uploads/2026/06/supraveghere-strazi-orase.jpg)
:format(webp)/https://playtech.ro/wp-content/uploads/2026/06/profimedia-0013875342-3.jpg)
:format(webp)/https://playtech.ro/wp-content/uploads/2026/06/Cum-bruiaza-Rusia-Europa-gps.jpg)