Um e-mail aparentemente inofensivo, assinado como “Ato de Reconciliação” ou “Fatura para Pagamento”, chega à sua caixa de entrada. Em segundos, um clique aciona um executável disfarçado de PDF, instala o malware Formbook e ainda altera políticas do Microsoft Defender para não ser detectado. Essa é a essência da campanha conduzida pelo recém-batizado grupo ComicForm, que desde abril de 2025 vem atacando organizações na Bielorrússia, Cazaquistão e Rússia — incluindo setores industriais, financeiros e de pesquisa.
Em paralelo, outro cluster, o SectorJ149 (também conhecido como UAC-0050), avança contra fabricantes e empresas de energia sul-coreanas. A sobreposição entre phishing, loaders em .NET ou VBScript e descargas de payloads como Formbook ou Remcos RAT indica uma tendência clara: malware de prateleira + engenharia social hiperpersonalizada = fórmula de sucesso para cibercriminosos. Se você administra um site em WordPress, gere receita com AdSense ou gerencia dados sensíveis de clientes, esse cenário se aplica diretamente ao seu dia a dia.
Quem é o ComicForm e como o golpe começa
De acordo com a pesquisa da empresa de segurança F6, o ComicForm opera desde, no mínimo, abril de 2025. O grupo envia e-mails em russo ou inglês, usando domínios .ru, .by e .kz. O anexo chega compactado em um arquivo .RR; dentro dele, um executável em .NET se disfarça de documento PDF (Акт_сверки pdf 010.exe, por exemplo).
Essa primeira etapa serve apenas para carregar uma DLL nomeada “MechMatrix Pro.dll”. Na sequência, surge a “Montero.dll”, cuja função é ser o dropper para o Formbook. Antes de a infecção prosperar, a ameaça cria uma tarefa agendada no Windows e ajusta exclusões no Microsoft Defender, burlando defesas nativas.
Um detalhe curioso deu nome ao grupo: o binário contém links para GIFs de super-heróis hospedados no Tumblr — imagens do Batman e companhia que não são usadas no ataque, mas funcionam como assinatura de código.
Phishing avançado: captura de credenciais com página que imita o seu próprio site
Em julho de 2025, mensagens enviadas a fabricantes russas partiram do e-mail de uma empresa cazaque. O link embutido levava a uma suposta página de confirmação de conta. O JavaScript no código:
- Extrai o e-mail do usuário a partir dos parâmetros da URL.
- Preenche automaticamente o campo
id="email". - Usa a API screenshotapi[.]net para capturar um print do domínio da vítima e definir esse screenshot como plano de fundo, adicionando legitimidade visual.
O resultado é uma página de login “perfeita”, capaz de enganar mesmo usuários treinados.
SectorJ149: da busca por lucro ao hacktivismo pro-Rússia
No fim de 2024, o SectorJ149 direcionou e-mails de spear phishing a executivos de setores de manufatura, energia e semicondutores na Coreia do Sul. As iscas faziam referência a compras de equipamentos ou pedidos de cotação.
Imagem: Internet
O anexo vinha como arquivo CAB com um VBScript que executava:
- Um comando PowerShell para baixar, de repositórios GitHub ou Bitbucket, um JPG “cavalo de Troia”.
- Dentro dessa imagem, um loader é extraído em memória e baixa um texto criptografado contendo os binários do Lumma Stealer, Formbook e Remcos RAT.
A NSHC, de Cingapura, vê nos ataques um viés cada vez mais hacktivista, voltado a transmitir mensagens políticas alinhadas à Rússia, além de ganhos financeiros tradicionais.
Do Phishing ao Formbook: Por Que Seu Negócio Pode Virar Alvo Mesmo Fora do Radar
Para um administrador de sites WordPress ou profissional que monetiza conteúdo, três pontos desta onda de ataques merecem atenção especial:
- Barreira de entrada baixa: Formbook, Lumma e Remcos são vendidos como serviço. Qualquer ator com orçamento modesto pode replicar técnicas semelhantes, seja contra grandes indústrias, seja contra blogs e e-commerces de nicho.
- Engenharia social hipercontextual: páginas de phishing que puxam prints do seu próprio domínio geram confiança instantânea no usuário final. A mesma lógica pode ser aplicada a logins de WordPress, painéis de afiliados e até contas de AdSense.
- Blind spots em defesas padrão: exclusões automatizadas no Microsoft Defender ou payloads executados inteiramente em memória contornam antivírus tradicionais. Para equipes pequenas, que dependem de soluções gratuitas ou pré-instaladas, o risco de infecção silenciosa é real.
O efeito cascata é claro: credenciais roubadas levam a invasões de sites; invasões resultam em redirecionamentos maliciosos ou injeção de anúncios fraudulentos, penalizando SEO e receita. Além disso, a presença de Formbook — famoso por exfiltrar senhas e cookies — abre porta para comprometimento de contas de afiliados e plataformas de anúncios, com impacto direto na sua renda.
Em um cenário em que grupos como ComicForm e SectorJ149 combinam malware de fácil acesso com truques de usabilidade para enganar vítimas, a conclusão é simples: a fronteira entre “grande empresa” e “pequeno criador” já não existe. A vigilância precisa ser constante, a autenticação multifator tem de virar padrão e a análise de logs deve fazer parte da rotina — porque o próximo e-mail com tema de “fatura pendente” pode ser o gatilho de um problema muito maior.
