Hackers brasileiros podem estar por trás de novo malware

26/06/2025 mindsecblog Notícias 0

Hackers brasileiros podem estar por trás de novo malware, alerta Acronis

Nova campanha utiliza arquivos SVG para driblar segurança de e-mails e distribui RATs capazes de controle remoto completo do sistema; entenda

Especialistas da Unidade de Pesquisa de Ameaças da Acronis (Threat Research Unit – TRU) identificaram uma campanha de ataques cibernéticos considerada altamente sofisticada. Os criminosos estão utilizando técnicas avançadas para invadir sistemas de forma silenciosa, como o escalonamento furtivo de privilégios — que permite aos invasores ganharem controle total sobre o sistema sem serem notados — e a execução exclusivamente em memória, que significa que o vírus age apenas na memória do computador, dificultando sua detecção por antivírus. Além disso, usam táticas de evasão para esconder seus rastros e evitar serem descobertos por ferramentas de segurança.

Embora, por enquanto, os ataques estejam mais concentrados na Colômbia, os especialistas encontraram trechos do código malicioso escritos em português. Isso pode indicar envolvimento de hackers brasileiros ou até uma preparação para atacar também o Brasil e outros países que falam português.

Técnicas de evasão e vetor de ataque

A campanha, batizada de Shadow Vector, aproveita arquivos SVG (Scalable Vector Graphics) — imagens que o navegador exibe nativamente, sem precisar baixar nada a mais. Ao fazer isso, o golpe convida o internauta a clicar e, de quebra, escapa dos filtros de e-mail tradicionais, que costumam examinar apenas anexos “suspeitos”.

Os e-mails de phishing (mensagens falsas que se passam por verdadeiras) imitam notificações oficiais de tribunais, aumentando a chance de a pessoa abrir e interagir com o conteúdo.

Para hospedar seus arquivos maliciosos, os criminosos usam plataformas públicas como Bitbucket e Archive.org — sites legítimos para armazenamento de código e arquivos. Como esses endereços costumam ser confiáveis, é mais difícil para as ferramentas de segurança bloqueá-los com base somente na “reputação” do IP ou do domínio.

O processo de infecção ocorre em várias etapas:

  • Stagers ofuscados em JavaScript e PowerShell – pequenos scripts (códigos de inicialização) escritos nessas linguagens são embaralhados para esconder sua real finalidade.
  • Payloads remotos disfarçados – os arquivos baixados parecem ser textos ou imagens comuns, mas carregam código em base64 (uma forma de “embaralhar” texto) que é executado diretamente na memória, sem gravar nada no disco, dificultando a detecção.
  • DLL side-loading – a técnica engana o sistema para carregar uma biblioteca maliciosa como se fosse legítima.
  • Drivers vulneráveis (por exemplo, Zemana e WiseCleaner) – programas de baixo nível com falhas conhecidas são explorados para obter escalonamento furtivo de privilégios, ou seja, transformar um acesso limitado em controle total da máquina sem levantar suspeitas.

Em conjunto, essas táticas tornam a Shadow Vector uma ameaça discreta e difícil de bloquear, mesmo para soluções de segurança avançadas.

 

Nova ameaça de alta severidade

Classificada como de ameaça alta, a campanha distribui trojans de acesso remoto (RATs) como AsyncRAT e RemcosRAT, que permitem controle total da máquina, roubo de credenciais e vigilância ativa. A Acronis registrou mais de 170 downloads de payloads em apenas algumas horas após a primeira amostra ser carregada, indicando exploração ativa e disseminação em tempo real.

Além das táticas de evasão avançadas, o loader identificado possui capacidades como execução na memória, bypass de UAC (User Account Control), anti-debugging e carregamento dinâmico de plugins, dificultando ainda mais a detecção por analistas de segurança.

Quem deve se preocupar

Segundo os especialistas da Acronis, a ameaça é crítica para:

  • CISOs responsáveis por operações na América Latina.
  • Analistas de SOC, devido às técnicas de evasão como injeção de DLLs, uso de drivers vulneráveis para acesso ao Kernel e execução apenas em memória.
  • MSPs, que precisam reforçar proteções de endpoint e filtros de e-mail.
  • O público geral na Colômbia – e possivelmente no Brasil – também deve estar atento a mensagens que aparentam vir do sistema judiciário ou de instituições financeiras.

Impacto real no mundo corporativo

O ataque representa um risco real tanto para indivíduos quanto para organizações na América Latina. As vítimas podem sofrer roubo de credenciais, monitoramento de atividades e comprometimento total de seus sistemas.

Dado o uso de infraestrutura pública para hospedagem e o design modular do malware, os especialistas da Acronis alertam que a campanha pode ser facilmente adaptada para atingir usuários em outras regiões.

Veja também:

About mindsecblog 3075 Articles
Blog patrocinado por MindSec Segurança e Tecnologia da Informação Ltda.
Website Facebook Twitter YouTube LinkedIn

Related Articles

Notícias

Blind Eagle volta a atacar organizações públicas e privadas

17/03/2025 mindsecblog Notícias 0

Blind Eagle volta a atacar organizações públicas e privadas. Um dos grupos cibercriminosos mais perigosos da América Latina volta a atacar organizações públicas e privadas Especialistas da Check Point Software descobriram novas e alarmantes campanhas […]

Notícias

Vaza dados e senhas de clientes da TIVIT

11/12/2018 mindsecblog Notícias 3

Vaza dados e senhas de clientes da TIVIT. Os dados parecem ser documentação de processo internos da própria empresa, sendo ainda desconhecido se o vazamento foi produto de uma ação ofensiva, publicados involuntariamente por equívoco […]

Artigos

Cuidado com quem você compartilha seus dados na internet

27/09/2023 mindsecblog Artigos, LGPD & PRIVACY, Notícias 1

Cuidado com quem você compartilha seus dados na internet. Especialistas alertam sobre o perigo e dão dicas para manter as informações pessoais protegidas.  Acessar serviços ou realizar compras online pode poupar tempo do consumidor, além […]

Be the first to comment

Deixe sua opinião!