Uma nova onda de ciberataques está colocando as instituições financeiras em alerta máximo, conforme os atores maliciosos intensificam o uso do PXA Stealer — um malware poderoso de roubo de informações — contra organizações em todo o mundo. O aumento da atividade segue o desmantelamento bem-sucedido por autoridades de operações de infostealers maiores, incluindo Lumma, Rhadamanthys e RedLine, ao longo de 2025.
O surgimento do PXA Stealer
Com as plataformas anteriores eliminadas, o PXA Stealer moveu-se para preencher a lacuna no mercado de malware. Pesquisadores estimam que sua atividade cresceu entre 8% e 10% durante o primeiro trimestre de 2026. A campanha é caracterizada por um foco deliberado em instituições financeiras globais, visando credenciais bancárias e dados de carteiras de criptomoedas.
Vetor de ataque e engenharia social
Essas campanhas utilizam e-mails de phishing com URLs maliciosas que direcionam as vítimas a baixar arquivos ZIP embalados com malware oculto. Os atacantes empregam uma ampla gama de documentos isca para atrair alvos, desde currículos falsos e instaladores do Adobe Photoshop até formulários fiscais e documentos legais. Essa variedade garante que a ameaça possa atingir funcionários de muitos departamentos em uma organização financeira, dificultando a defesa com filtros de e-mail genéricos.
Análise da cadeia de infecção
O ataque começa quando uma vítima é enganada ao baixar um arquivo ZIP chamado Pumaproject.zip do domínio downloadtheproject[.]xyz. O arquivo contém um documento chamado Document.docx.exe, projetado para parecer um documento do Word inofensivo. Quando a vítima o executa, o malware entra em ação, extraindo um interpretador Python, várias bibliotecas e scripts maliciosos, enquanto cria uma pasta oculta chamada "Dots" para armazenar os componentes restantes do ataque.
Técnicas de ofuscação e persistência
Dentro da pasta "Dots", os atacantes armazenam um binário legítimo do WinRar renomeado como picture.png, juntamente com um arquivo criptografado disfarçado de Shodan.pdf. A ferramenta do Windows certutil decodifica este arquivo, após o qual o binário WinRar descompacta o arquivo usando a senha shodan2201. O interpretador Python é renomeado para svchost.exe para passar como um processo Windows confiável.
Exfiltração de dados via Telegram
O PXA Stealer é construído para coletar silenciosamente credenciais de navegador, senhas salvas e dados de carteiras de criptografia das máquinas infectadas. Após colher essas informações, ele envia tudo para o atacante através de canais do Telegram, o que ajuda o tráfego de saída a evitar escrutínio. O malware também escreve uma entrada de registro para garantir que continue em execução mesmo após a reinicialização da máquina, dando aos atacantes acesso de longo prazo ao sistema comprometido.
Indicadores de comprometimento (IOCs)
Os analistas identificaram um cluster de campanha ligado a um identificador de bot rotulado como "Verymuchxbot". Os IOCs incluem o domínio downloadtheproject[.]xyz, o arquivo Pumaproject.zip, e o caminho de persistência C:\Users\Public\WindowsSecure. O tráfego de saída é direcionado para canais do Telegram, o que deve ser monitorado por equipes de segurança.
Medidas de mitigação recomendadas
As equipes de segurança devem monitorar e-mails para URLs suspeitas e anexos ZIP ou RAR, especialmente aqueles com nomes de arquivos sugerindo faturas, contas ou conteúdo relacionado ao trabalho. Conexões de saída para domínios de nível superior como .xyz, .shop, .info e .net devem ser bloqueadas, com o contexto do arquivo de origem sempre revisado. O tráfego direcionado para aplicativos de mensagens de terceiros como o Telegram deve ser auditado quanto a movimentação não autorizada de dados.
O que os CISOs devem fazer imediatamente
Alertas de EDR para injeção de processo devem ser tratados com urgência. Os feeds de CTI (Inteligência de Ameaças Cibernéticas) e consultas de caça a ameaças devem ser mantidos atualizados para detectar ameaças emergentes de infostealers antes que causem danos. A revisão de políticas de uso de USB e a restrição de execução de scripts não assinados são medidas adicionais para reduzir a superfície de ataque.
Perguntas frequentes
Qual é o principal alvo do PXA Stealer? Instituições financeiras globais, visando credenciais bancárias e dados de criptomoedas.
Como o malware se disfarça? Renomeia o interpretador Python para svchost.exe e usa arquivos de imagem falsos para esconder componentes maliciosos.
Qual é o canal de exfiltração? Canais do Telegram controlados pelos atacantes, escolhidos para evitar detecção por filtros de rede tradicionais.