Veja as principais notícias no MODO STORIES
Servidora do TRT está entre as 4 vítimas de acidente em Rosário Oeste; saiba quem é
Trump pede a Câmara e Senado que avancem com US$ 350 bilhões para Defesa
Vítima de feminicídio gravou ameaças de pecuarista antes de ser morta em MT: 'Nós dois para o inferno'; veja vídeo
Rodoviários seguem sem acordo após nova audiência no Rio
Boulos critica Tabata por comparação com Zambelli e Eduardo Bolsonaro
Romário resolveu opiniar sobre entrada de Neymar em Brasil x Noruega. Revelado n…
Como os bancos digitais mudam a experiência do cliente
Decreto autoriza Prefeitura a incorporar imóveis abandonados
NOVA MUTUM CLIMA
Publicidade Nova Mutum

Novo vírus ataca bancos e envia dados roubados ao Telegram


Um malware focado em roubo de senhas e criptomoedas registrou aumento de até 10% nos ataques contra instituições financeiras no primeiro trimestre de 2026. O alerta é da CyberProof, empresa especializada em detecção de ameaças cibernéticas, que monitora as campanhas do PXA Stealer.

Esse infostealer é relativamente novo e está ganhando espaço no ecossistema do cibercrime após a queda de ferramentas mais antigas.

smart_display

Nossos vídeos em destaque

Infostealers são uma categoria de malware especializada em coletar silenciosamente credenciais, dados bancários e chaves de acesso a carteiras de criptomoedas.

O arquivo parece um documento Word comum, mas as propriedades revelam que é um programa executável — uma das táticas usadas pelo PXA Stealer para enganar a vítima. Imagem: CyberProof.

O PXA entrou em evidência depois que operações policiais de grande repercussão desarticularam dois dos infostealers mais usados do mercado, o RedLine e o Lumma, em 2025. Com essas ferramentas fora de circulação, grupos de ameaça migraram para alternativas. O PXA foi uma delas.

Como a infecção acontece

O vetor inicial é um e-mail de phishing, com mensagens que imitam comunicações legítimas. Isso inclui formulários fiscais, documentos jurídicos ou até instaladores do Adobe Photoshop. Um arquivo recorrente nessas campanhas é o Pumaproject.zip. Ao ser aberto, a armadilha é acionada.

A execução do malware segue uma abordagem em camadas para evitar detecção. O PXA cria uma pasta oculta chamada “Dots” no sistema infectado e usa a senha shodan2201 para descompactar seus componentes mais perigosos.

PXA Stealer.png
Ferramenta de segurança flagra o momento em que o malware começa a registrar tudo o que o usuário digita no teclado, incluindo senhas e dados bancários. Imagem: CyberProof.

Para dificultar ainda mais a identificação, renomeia seus arquivos principais como svchost.exe, um processo legítimo do Windows, presente em qualquer máquina. Assim ele se camufla entre os processos normais do sistema. Para um observador casual, o computador parece funcionar normalmente.

A persistência é garantida via registro do Windows: o malware adiciona uma entrada que o faz reiniciar automaticamente a cada boot da máquina, garantindo que a infecção sobreviva mesmo após o computador ser desligado e religado.

O que está sendo roubado

O foco do PXA Stealer são credenciais e ativos financeiros digitais. Uma vez dentro do sistema, o malware coleta senhas salvas em navegadores, chaves privadas de carteiras de criptomoedas, que permitem acesso e transferência de fundos sem necessidade de senha. Além de dados de acesso a plataformas financeiras específicas.

contando-criptomoedas
Carteiras de criptomoedas estão entre os principais alvos do PXA Stealer — o malware coleta as chaves privadas que dão acesso aos fundos sem necessidade de senha.

Os dados exfiltrados são organizados internamente com um BOT_ID identificado pelos pesquisadores como Verymuchxbot e enviados aos criminosos via canais do Telegram. O uso do Telegram como infraestrutura de C2 é uma tendência crescente entre grupos de ameaça, por ser de fácil uso e difícil rastreamento.

C2 é a sigla para comando e controle, o canal pelo qual os criminosos controlam o malware e recebem os dados roubados.

Como se proteger

Os especialistas da CyberProof recomendam ceticismo como primeira linha de defesa. Anexos com extensões .zip ou .rar em e-mails que alegam urgência merecem atenção redobrada.

maos-digitando-em-notebook-com-escudo-de-virus-alerta-de-seguranca-cibernetica-ataque-spyware
Manter ferramentas de segurança ativas e atualizadas é uma das principais formas de detectar uma infecção antes que os dados deixem a máquina.

Monitorar conexões de rede em segundo plano para domínios com terminações como .xyz ou .shop pode indicar exfiltração em andamento. Arquivos .vbs ou .js, formatos de script que não costumam aparecer em uso cotidiano, que surgem inesperadamente no sistema também são sinal de alerta.

Acompanhe o TecMundo nas redes sociais. Para mais notícias de segurança e tecnologia, inscreva-se em nossa newsletter e canal do YouTube.



Source link

Publicidade Publicidade Alerta Mutum News

Related Post

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Copa do Mundo 2026
Calculando...
Logo Alerta Mutum News