Coreia do Norte Ataca Exchanges de Criptomoedas com Malware 'Invisível' que Opera na Memória
A renomada gangue Lazarus, ligada à Coreia do Norte, está empregando uma nova tática sofisticada contra instituições financeiras e plataformas de criptomoedas. O malware opera inteiramente na memória RAM, evitando detecção baseada em arquivos.
MundiX News·28 de junho de 2026·4 min de leitura·👁 1 views
Hackers estão priorizando a discrição em vez da força bruta. É com esse princípio que a gangue Lazarus, associada à Coreia do Norte, opera em sua nova campanha contra bancos e plataformas de criptomoedas. A estratégia visa a furtividade, permitindo que o malware permaneça indetectado no sistema por períodos prolongados.
Especialistas da empresa Cognyte registraram ataques utilizando um conjunto de ferramentas de três componentes: DPAPILoader, RemotePELoader e RemotePE. A característica distintiva deste malware é que o código malicioso não é gravado no disco rígido, operando exclusivamente na memória RAM. Essa abordagem dificulta significativamente a detecção e a investigação pós-infecção.
O esquema de ataque é executado em etapas. O primeiro componente descriptografa e executa o próximo, utilizando o mecanismo de proteção de dados integrado do Windows (DPAPI). O segundo componente carrega a carga útil final diretamente dos servidores dos atacantes. O terceiro componente, um trojan de acesso remoto (Remote Access Trojan - RAT), é executado inteiramente na memória e concede aos atacantes controle sobre o sistema, permitindo a execução de comandos, gerenciamento de arquivos e roubo de dados.
Um aspecto notável é o método de "ancoragem ao ambiente". O código malicioso é criptografado para uma máquina vítima específica através do mesmo DPAPI, tornando impossível executá-lo em outro dispositivo. Cada infecção se torna única, o que efetivamente anula a eficácia da detecção padrão baseada em assinaturas de arquivos. Essa técnica de ofuscação é crucial para evitar a detecção por soluções de segurança tradicionais.
A Lazarus tem um histórico de ataques com motivação financeira, incluindo roubos de criptomoedas. A nova campanha demonstra que, além da complexidade técnica, a gangue está cada vez mais focada em discrição e permanência prolongada na rede da vítima – uma abordagem anteriormente mais característica de estruturas de inteligência estatais. Essa mudança de tática sugere uma evolução na sofisticação e nos objetivos do grupo.
Para mitigar os riscos, os analistas recomendam limitar privilégios administrativos, implementar detecção de ameaças comportamentais na memória, fortalecer a coleta de telemetria dos endpoints e monitorar o uso suspeito das funções DPAPI e atividades de rede de saída não convencionais. A adoção dessas medidas pode ajudar a identificar e neutralizar ameaças que utilizam técnicas de evasão avançadas.
🛡️⚡
Pare de pesquisar. Comece a hackear.
O MundiX é seu copiloto de pentest com IA: comandos exatos, análise de outputs e próximo passo na kill chain — em segundos.
Sem cartão para começar · Planos a partir de R$49/mês
Hackers estão priorizando a discrição em vez da força bruta. É com esse princípio que a gangue Lazarus, associada à Coreia do Norte, opera em sua nova campanha contra bancos e plataformas de criptomoedas. A estratégia visa a furtividade, permitindo que o malware permaneça indetectado no sistema por períodos prolongados.
Especialistas da empresa Cognyte registraram ataques utilizando um conjunto de ferramentas de três componentes: DPAPILoader, RemotePELoader e RemotePE. A característica distintiva deste malware é que o código malicioso não é gravado no disco rígido, operando exclusivamente na memória RAM. Essa abordagem dificulta significativamente a detecção e a investigação pós-infecção.
O esquema de ataque é executado em etapas. O primeiro componente descriptografa e executa o próximo, utilizando o mecanismo de proteção de dados integrado do Windows (DPAPI). O segundo componente carrega a carga útil final diretamente dos servidores dos atacantes. O terceiro componente, um trojan de acesso remoto (Remote Access Trojan - RAT), é executado inteiramente na memória e concede aos atacantes controle sobre o sistema, permitindo a execução de comandos, gerenciamento de arquivos e roubo de dados.
Um aspecto notável é o método de "ancoragem ao ambiente". O código malicioso é criptografado para uma máquina vítima específica através do mesmo DPAPI, tornando impossível executá-lo em outro dispositivo. Cada infecção se torna única, o que efetivamente anula a eficácia da detecção padrão baseada em assinaturas de arquivos. Essa técnica de ofuscação é crucial para evitar a detecção por soluções de segurança tradicionais.
A Lazarus tem um histórico de ataques com motivação financeira, incluindo roubos de criptomoedas. A nova campanha demonstra que, além da complexidade técnica, a gangue está cada vez mais focada em discrição e permanência prolongada na rede da vítima – uma abordagem anteriormente mais característica de estruturas de inteligência estatais. Essa mudança de tática sugere uma evolução na sofisticação e nos objetivos do grupo.
Para mitigar os riscos, os analistas recomendam limitar privilégios administrativos, implementar detecção de ameaças comportamentais na memória, fortalecer a coleta de telemetria dos endpoints e monitorar o uso suspeito das funções DPAPI e atividades de rede de saída não convencionais. A adoção dessas medidas pode ajudar a identificar e neutralizar ameaças que utilizam técnicas de evasão avançadas.
📤 Compartilhar & Baixar
🧰 Ferramentas recomendadas
Divulgação: alguns links são patrocinados. Podemos receber comissão se você comprar — sem custo extra para você. Só indicamos o que faz sentido para a comunidade.
