RELATÓRIO DE AMEAÇA:
Trojan Bancário Brasileiro
com DLL Side-Loading
Data: 31/01/2026 | Severidade: CRÍTICA | Classificação: Malware Financeiro / Spyware
Resumo Executivo
Foi identificada uma campanha sofisticada de malware bancário de origem brasileira que utiliza a técnica de DLL Side-Loading para evadir softwares de segurança. O ataque abusa de um navegador exclusivo legítimo de uma grande instituição financeira para carregar componentes maliciosos. Ao se esconder dentro de um processo assinado digitalmente e confiável, o malware obtém acesso ao sistema para realizar fraudes financeiras, roubo de credenciais e sequestro de criptoativos.
Principais Riscos:
Fraude PIX em Tempo Real: Substituição silenciosa de QR Codes e manipulação de área de transferência.
Roubo de Ativos: Captura de senhas bancárias, chaves de carteiras de criptomoedas (MetaMask/Ledger) e sessões.
Evasão: O malware utiliza infraestrutura legítima (Google Docs) para comando e controle, dificultando o bloqueio por reputação.
Análise Técnica e Cadeia de Infecção
Vetor de Ataque: O malware é entregue via dropper (provavelmente phishing) que baixa e executa o software legítimo do banco alvo.
Mecanismo de Persistência e Execução (DLL Side-Loading):
O atacante implanta o executável legítimo (
pythonw.exerenomeado/modificado) e uma DLL maliciosa (mozglue.dll) no mesmo diretório.Ao executar o software bancário legítimo, o Windows carrega a DLL maliciosa do atacante ao invés da original do sistema (T1574.002).
O payload é desempacotado em memória (de 16MB para 142MB) utilizando proteção Themida, evitando detecção estática.
Infraestrutura de Comando e Controle (C2):
Dead Drop Resolver: O malware consulta documentos públicos no Google Docs para obter o endereço IP do servidor de controle real, tornando a infraestrutura dinâmica e resiliente (T1102.001).
Capacidades Observadas:
Overlays Bancários: Telas falsas que se sobrepõem a apps de 10+ instituições financeiras.
Crypto-Jacking: Monitoramento de clipboard para endereços BTC/ETH e roubo de arquivos locais de wallets.
Anti-Forense: Detecção de ferramentas de análise e "Kill Switch" remoto.
Indicadores de Comprometimento (IoCs) Críticos
Network (Bloqueio Imediato Recomendado):
191.96.78.169(C2 Primário - Portas 50029/50093)newkget[.]com(Domínio de Staging)mgbdpki[.]com(Domínio de Beacon)Monitorar tráfego HTTP com User-Agent:
Mozilla/3.0 (compatible; Indy Library)
Filesystem (Artefatos de Detecção):
Arquivos em
C:\Users\Public\:metasenha.txt,wwwssdddw.txt,off.txtDLL suspeita com Export Name
AppleVersions.dllmimetizando amozglue.dllMutex:
Local\Aplicativo
Recomendações de Mitigação
Bloqueio de Perímetro: Implementar regras de bloqueio para os IPs e domínios listados e monitorar conexões para docs.google.com/document/*/export vindas de processos não-navegador.
Detecção Comportamental: Configurar EDR para alertar sobre processos assinados por instituições financeiras carregando DLLs não assinadas ou com alta entropia (>7.5).
Monitoramento de PowerShell: Bloquear ou alertar execuções de PowerShell com flag
-WindowStyle Hiddenque realizem downloads externos.
Inscreva-se
para receber reports via email:
Teste agora!