Volver al Hub

Shadow Vector: Novo malware bancário brasileiro opera na RAM para evitar detecção

Imagen generada por IA para: Shadow Vector: Malware bancario residente en memoria de APT brasileña evade detección

Um novo grupo de ameaça persistente avançada (APT) operando no Brasil foi identificado distribuindo um sofisticado malware bancário que reside apenas na memória RAM, com preocupantes capacidades de evasão. Batizado de 'Shadow Vector' por pesquisadores de segurança, esta campanha representa uma evolução significativa nas táticas de cibercrime na América Latina.

A característica mais distintiva do malware é sua operação exclusiva na memória do sistema, sem nunca gravar dados no disco. Este mecanismo de persistência RAM-only permite que ele bypass soluções tradicionais de antivírus baseadas em arquivos. Os atacantes conseguem isso através de um processo de carregamento em múltiplos estágios que começa com um pequeno dropper distribuído via e-mails de phishing contendo documentos Office ou PDFs maliciosos.

Uma vez executado, o dropper utiliza técnicas de process hollowing para injetar código malicioso em processos legítimos como explorer.exe ou svchost.exe. O malware então estabelece canais de comando e controle (C2) criptografados com TLS para baixar payloads adicionais diretamente na memória. Estes payloads incluem módulos de trojan bancário especificamente desenhados para atacar mais de 15 grandes instituições financeiras latino-americanas.

As capacidades de roubo financeiro são particularmente sofisticadas. O malware pode:

  • Injetar formulários de login falsos em sites bancários legítimos
  • Modificar detalhes de transações em tempo real
  • Burlar autenticação em dois fatores através de sequestro de sessão
  • Capturar keystrokes e tirar screenshots

O que torna o Shadow Vector especialmente preocupante é sua infraestrutura adaptativa. Os servidores C2 rotacionam endereços IP frequentemente e usam algoritmos de geração de domínios (DGAs) para manter persistência enquanto evita derrubadas. Pesquisadores também observaram o malware verificando ambientes de máquina virtual e ferramentas de segurança antes de ativar seus payloads maliciosos.

A defesa contra tais ameaças requer uma mudança da detecção baseada em assinaturas tradicionais. Times de segurança devem:

  1. Implementar soluções de escaneamento de memória
  2. Utilizar sistemas de detecção baseados em comportamento
  3. Monitorar técnicas de process hollowing
  4. Restringir execução de macros no Office
  5. Aplicar whitelisting de aplicativos

O surgimento do Shadow Vector sinaliza uma tendência preocupante no cibercrime latino-americano, onde agentes de ameaça estão adotando táticas estilo APT tradicionalmente associadas a grupos patrocinados por nações. Instituições financeiras e seus clientes devem permanecer vigilantes contra tentativas sofisticadas de phishing e considerar medidas adicionais de verificação de transações.

Fuente original: Ver Fontes Originais
NewsSearcher Agregación de noticias con IA
Publicado: 27/06/2025 Malware

Comentarios 0

¡Únete a la conversación!

Los comentarios estarán disponibles próximamente.