Você já deve ter recebido um email com o boleto de uma conta que você precisa pagar. Você vê o botão "baixe aqui seu boleto em PDF", clica e não percebe que caiu num golpe. Sim, um novo tipo de phishing está usando esse truque perigoso e seu arquivo PDF é na verdade um disco virtual do Windows (.VHD) que pode instalar um trojan de acesso remoto e permitir que criminosos controlem o computador à distância.
Como funciona o golpe do arquivo "boleto.pdf.vhd"
De acordo com o Malwarebytes, esse tipo de golpe está associado ao grupo apelidado de DEAD#VAX e começa com e-mails que parecem mensagens comuns de trabalho, citando "invoice" (fatura) e "purchase order" (pedido), às vezes até se passando por empresas reais.
Em vez de anexar um documento direto no e-mail, os criminosos colocam um link para download hospedado no IPFS (InterPlanetary File System), o que também dificulta o arquivo ser detectado como vírus.
A vítima baixa um arquivo com nome e ícone de PDF, mas ele é na verdade um .vhd (sigla de virtual hard disk). Do jeito que o Windows vem configurado, muita gente enxerga apenas "boleto.pdf" e não vê a extensão real do arquivo (por exemplo, boleto.pdf.vhd).
Quando a pessoa dá o duplo clique, o Windows não abre um leitor de PDF: ele monta o arquivo como uma nova unidade no Explorador (como se fosse um pendrive aparecendo com uma letra, tipo "E:").
Dentro dessa "unidade" montada, o que parece ser o PDF esperado pode ser, na verdade, um Windows Script File (WSF), e ao abrir esse arquivo o Windows executa o script em vez de exibir um documento.
O que os criminosos conseguem fazer no seu PC
O objetivo é instalar o AsyncRAT, um trojan de acesso remoto que dá aos criminosos o controle total do seu computador, permitindo monitorar e operar o computador à distância. Ele usa processos legítimos e assinados pela Microsoft, como RuntimeBroker.exe, OneDrive.exe, taskhostw.exe e sihost.exe, o que dificulta a identificação do ataque.
Mas se você cair nesse golpe pode ter suas senhas roubadas, tanto as que estão salvas no PC, como aquelas que são digitadas, o que inclui a de e-mail, banco e redes sociais. Também corre o risco de ter seus documentos vazados na internet, incluindo fotos e vídeos sensíveis e até a espionagem por capturas de tela periódicas que, dependendo da configuração do invasor, captura até a sua webcam.
O motivo de tanta gente cair, porém, é que o Windows pode esconder extensões. De acordo com a Malwarebytes, isso faz invoice.pdf.vhd aparecer como se fosse apenas invoice.pdf para o usuário comum. É exatamente esse "efeito visual" que ajuda o golpe a funcionar, porque a pessoa acredita estar abrindo um PDF normal.
Como evitar o "PDF fantasma"
Como a gente sempre fala, o melhor antívirus é você. Então, seja desconfiado e esteja atento ao que baixa no computador. Não abra anexos/links de cobrança sem confirmar que é uma fonte confiável. Se aparecer algo como *.pdf.vhd, trate como suspeito e não clique.
Algo que pode ajudar, é ativar a exibição de extensões do Windows. Para isso, existem duas formas, como vou te mostrar abaixo.
Primeira alternativa
Primeiro, abra o Explorador de Arquivos (Windows + E). Daífaça o seguinte:
- Na barra superior, vá em Visualizar.
- Na lista que abrir, clique em Mostrar;
- Por fim, ative Extensões de nomes de arquivos
Segunda alternativa
Outra alternativa é procurar no Menu Iniciar por Opções do Explorador de Arquivos e abrir.
Na tela que aparecer, siga o passo a passo:
- No menu superior, clique em Modo de Exibição;
- Role o mouse até encontrar a opção Ocultar as extensões dos tipos de arquivo conhecidos e desmarque a caixinha;
- Por fim, toque em Aplicar.
O que é o arquivo boleto.pdf.vhd?
É um arquivo de disco virtual do Windows (.VHD) disfarçado de PDF no nome/ícone, usado em golpes para levar a vítima a “abrir” algo que não é documento.
O que é AsyncRAT e o que ele permite?
O AsyncRAT é um trojan de acesso remoto que permite ao atacante monitorar e controlar o PC comprometido, com funções de vigilância e coleta de dados.