Ciberataque Shadow Vector levanta suspeitas sobre hackers brasileiros

Uma campanha cibernética altamente sofisticada, batizada de Shadow Vector, tem chamado a atenção de especialistas em cibersegurança por sua capacidade de burlar defesas tradicionais e operar com discrição extrema. Utilizando arquivos SVG, que navegadores abrem nativamente sem downloads adicionais, os criminosos conseguem infiltrar malwares (programas maliciosos) com controle remoto total do sistema sem serem detectados.

O alerta foi dado pela Unidade de Pesquisa de Ameaças da Acronis (TRU), que identificou a ameaça como de alta severidade. E um dos pontos mais sensíveis do relatório é a descoberta de trechos do código malicioso escritos em português, o que sugere, segundo os especialistas, uma possível conexão com o ecossistema de cibercrime brasileiro.

“Embora a presença de código em português na campanha Shadow Vector tenha levantado suspeitas iniciais de uma origem brasileira, esse detalhe por si só não é suficiente para confirmar a atribuição”, explica Jozsef Gegeny, pesquisador sênior da Acronis. Ainda assim, o cenário vai além da linguagem.

Segundo Santiago Pontiroli, também da TRU, evidências adicionais apontam para campanhas similares em andamento no Brasil, com foco em plataformas locais como PIX e MercadoPago. “O alinhamento no direcionamento e na metodologia sugere uma possível conexão regional. Mesmo que não seja o mesmo grupo, há uma clara convergência de técnicas.”

O Shadow Vector se vale de métodos raros, mas eficazes. Ao explorar vulnerabilidades em arquivos SVG, normalmente considerados seguros, o malware escapa da vigilância de filtros tradicionais de e-mail. Esses arquivos, por exemplo, não precisam ser baixados nem abertos em outro programa, o que engana o usuário e o sistema.

• PlayMinas: governo de MG lança iniciativa para impulsionar games e inovação

Os e-mails utilizados na campanha simulam comunicações oficiais de tribunais, aumentando a taxa de abertura. Para dificultar ainda mais a detecção, os hackers hospedam os arquivos maliciosos em plataformas legítimas, como Bitbucket e Archive.org, dificultando o bloqueio automático por reputação de domínio.

A cadeia de infecção do Shadow Vector é elaborada e conta com vários estágios:

• Stagers em JavaScript e PowerShell - pequenos scripts (códigos de inicialização) escritos nessas linguagens são embaralhados para esconder sua real finalidade.
• Payloads camuflados - os arquivos baixados parecem ser textos ou imagens comuns, mas carregam código em base64 (uma forma de “embaralhar” texto) que é executado diretamente na memória, sem gravar nada no disco, dificultando a detecção.
• DLL side-loading - a técnica engana o sistema para carregar uma biblioteca maliciosa como se fosse legítima.
• Exploração de drivers vulneráveis - programas de baixo nível com falhas conhecidas são explorados para obter escalonamento furtivo de privilégios, ou seja, transformar um acesso limitado em controle total da máquina sem levantar suspeitas.

Uma vez instalado, o malware utiliza RATs como AsyncRAT e RemcosRAT, permitindo acesso remoto irrestrito à máquina da vítima, coleta de credenciais e vigilância em tempo real. Em questão de horas após a primeira amostra detectada, mais de 170 downloads foram registrados, indicando disseminação ativa.

Segundo Gegeny, esse tipo de ataque é especialmente perigoso porque opera apenas na memória da máquina. “Isso impede que antivírus tradicionais identifiquem qualquer arquivo suspeito. O código não é gravado no disco, dificultando qualquer análise forense.”

• Imagens de IA irritam clientes de app de delivery de comida
  

Diante da complexidade do caso, o Estado de Minas foi atrás de especialistas em segurança digital para entender os riscos dessa nova ameaça e o que ela revela sobre o cenário brasileiro. Conversamos com dois principais analistas envolvidos no mapeamento do Shadow Vector:

Entrevista com Jozsef Gegeny, Pesquisador Sênior da Acronis TRU

Quais evidências indicam o envolvimento de hackers brasileiros?

R: Encontramos trechos de código escritos em português e parâmetros de método em módulos específicos do malware. Embora isso não seja prova definitiva, indica forte possibilidade de vínculo com agentes de ameaça que operam em língua portuguesa. Esses sinais podem representar reaproveitamento de código ou compartilhamento de frameworks. É um alerta para a comunidade brasileira.

Por que arquivos SVG são eficazes contra filtros de segurança?

R: Muitos antivírus evitam escanear SVGs inteiros por questões de desempenho. Os atacantes aproveitam isso, escondendo o conteúdo malicioso nas partes menos inspecionadas. O SVG também permite incorporar imagens, o que oculta informações críticas do golpe, como senhas falsas ou instruções. A recomendação é cautela redobrada com anexos incomuns.

A Acronis detectou infecções no Brasil?

R: Até o momento, não. A campanha está concentrada na Colômbia. Mas os indícios de código em português e o uso de táticas comuns a ataques no Brasil sugerem que o país pode ser um alvo em potencial nas próximas fases.

• O desgastante trabalho humano por trás do ChatGPT
  

Como empresas podem se proteger de malwares que agem apenas na memória?

R: Soluções de EDR ou XDR são mais indicadas do que antivírus tradicionais. Monitoramento em tempo real, restrição de privilégios administrativos e desativação de ambientes de script são medidas eficazes. Manter sistemas atualizados e treinar funcionários para identificar e-mails de phishing também são defesas essenciais.

Shadow Vector é uma ameaça inédita?

R: Não totalmente. O uso de SVG como vetor já foi documentado antes, inclusive em ataques de ransomware em 2015. A novidade está na combinação sofisticada de múltiplas técnicas de evasão e na exploração de plataformas confiáveis para se esconder.

Análise de Santiago Pontiroli, pesquisador da Acronis TRU

“O código em português não confirma autoria brasileira, mas há um padrão preocupante. Campanhas em andamento no Brasil replicam técnicas semelhantes, incluindo o foco em bancos locais e plataformas como PIX. Isso aponta para um padrão mais amplo de cibercrime financeiro regional.”

Segundo Pontiroli, o uso do mesmo módulo de ativação já foi identificado em campanhas fora da América Latina. Ferramentas como o Katz Stealer, por exemplo, mostram que há uma convergência global de métodos. “É possível que grupos brasileiros estejam exportando técnicas, ou que estejam colaborando com criminosos de outras regiões.”

Essa convergência, na visão dele, reforça a importância de um esforço internacional de resposta. “As ameaças não respeitam fronteiras. Estamos diante de uma rede que se espalha rapidamente e exige atenção global.”

Impacto no Brasil e na América Latina

O Shadow Vector ainda não teve infecções confirmadas no Brasil, mas os sinais indicam que isso pode mudar em breve. Com a popularização de ferramentas de pagamento digital e o crescimento do cibercrime financeiro, o país se torna um alvo natural.
Empresas devem reforçar seus protocolos de segurança e adotar medidas proativas de detecção. A educação do usuário também se torna ainda mais relevante, especialmente com a sofisticação das táticas de engenharia social. Como alerta Gegeny: “A melhor defesa começa na prevenção.”

Siga nosso canal no WhatsApp e receba notícias relevantes para o seu dia