Especialistas da Unidade de Pesquisa de Ameaças da Acronis (Threat Research Unit – TRU) identificaram uma campanha de ataques cibernéticos considerada altamente sofisticada. Segundo o relatório, os criminosos estão utilizando técnicas avançadas para invadir sistemas de forma silenciosa, como o escalonamento furtivo de privilégios, que permite aos invasores ganharem controle total sobre o sistema sem serem notados e a execução exclusivamente em memória, que significa que o vírus age apenas na memória do computador, dificultando sua detecção por antivírus. Além disso, usam táticas de evasão para esconder seus rastros e evitar serem descobertos por ferramentas de segurança.
Apesar disso, os especialistas afirmaram que por enquanto, os ataques estejam mais concentrados na Colômbia, os especialistas encontraram trechos do código malicioso escritos em português. Isso pode indicar envolvimento de hackers brasileiros ou até uma preparação para atacar também o Brasil e outros países que falam português.
Técnicas de evasão e vetor de ataque
A pesquisa mostrou que a campanha, batizada de Shadow Vector, aproveita arquivos SVG (Scalable Vector Graphics), imagens que o navegador exibe nativamente, sem precisar baixar nada a mais. Ao fazer isso, o golpe convida o internauta a clicar e, de quebra, escapa dos filtros de e-mail tradicionais, que costumam examinar apenas anexos “suspeitos”. Os e-mails de phishing (mensagens falsas que se passam por verdadeiras) imitam notificações oficiais de tribunais, aumentando a chance de a pessoa abrir e interagir com o conteúdo.
De acordo com os dados, para hospedar seus arquivos maliciosos, os criminosos usam plataformas públicas como Bitbucket e Archive.org, sites legítimos para armazenamento de código e arquivos. Como esses endereços costumam ser confiáveis, é mais difícil para as ferramentas de segurança bloqueá-los com base somente na “reputação” do IP ou do domínio. A análise mostrou que o conjunto de táticas tornam a Shadow Vector uma ameaça discreta e difícil de bloquear, mesmo para soluções de segurança avançadas.
Nova ameaça
Classificada como de ameaça alta, a campanha distribui trojans de acesso remoto (RATs) como AsyncRAT e RemcosRAT, que permitem controle total da máquina, roubo de credenciais e vigilância ativa. A Acronis registrou mais de 170 downloads de payloads em apenas algumas horas após a primeira amostra ser carregada, indicando exploração ativa e disseminação em tempo real. Além das táticas de evasão avançadas, o loader identificado possui capacidades como execução na memória, bypass de UAC (User Account Control), anti-debugging e carregamento dinâmico de plugins, dificultando ainda mais a detecção por analistas de segurança.
Quem deve se preocupar
Segundo os especialistas da Acronis, a ameaça é crítica para CISOs responsáveis por operações na América Latina.
Analistas de SOC, devido às técnicas de evasão como injeção de DLLs, uso de drivers vulneráveis para acesso ao Kernel e execução apenas em memória. MSPs, que precisam reforçar proteções de endpoint e filtros de e-mail.
O público geral na Colômbia e possivelmente no Brasil também deve estar atento a mensagens que aparentam vir do sistema judiciário ou de instituições financeiras.
Impacto real no mundo corporativo
A organização afirmou que o ataque representa um risco real tanto para indivíduos quanto para organizações na América Latina. As vítimas podem sofrer roubo de credenciais, monitoramento de atividades e comprometimento total de seus sistemas. Dado o uso de infraestrutura pública para hospedagem e o design modular do malware, os especialistas da Acronis alertam que a campanha pode ser facilmente adaptada para atingir usuários em outras regiões.
