Novo malware direciona setor de criptomoedas com técnicas avançadas e uso de IA
Um novo trojan de acesso remoto (RAT) para Windows, batizado de PHANTOMPULSE, está chamando a atenção de pesquisadores de segurança por combinar um conjunto sofisticado de técnicas para invadir máquinas e se manter oculto, com foco especial em alvos relacionados ao universo de criptomoedas. A ameaça integra engenharia social, injeção de processos, bypass de UAC e um mecanismo de comunicação baseado em blockchain, o que torna sua detecção e neutralização significativamente mais complexas.
O PHANTOMPULSE surge como carga final de uma cadeia de ataque identificada como REF6598. Essa cadeia tem início no abuso de plugins do Obsidian, uma popular ferramenta de anotações e produtividade. Ao explorar extensões maliciosas ou comprometidas, os operadores do ataque conseguem o primeiro ponto de entrada no sistema da vítima, frequentemente de forma silenciosa e com aparência de atividade legítima.
Depois que o acesso inicial é obtido, entra em ação um loader em memória chamado PHANTOMPULL. Esse componente funciona como um intermediário: ele injeta e instala o implante principal (PHANTOMPULSE), ajusta o ambiente da máquina e configura os mecanismos necessários para garantir persistência e uma comunicação estável com os operadores do ataque. O fato de o loader atuar diretamente em memória reduz o rastro deixado em disco, dificultando a atuação de soluções de segurança baseadas apenas em varredura de arquivos.
A análise técnica do malware mostra que o PHANTOMPULSE conta com, pelo menos, três técnicas diferentes de injeção de processos, o que reforça o foco em furtividade. Uma das abordagens, chamada PhantomInject, injeta shellcode sobrescrevendo partes da dbghelp.dll, uma DLL legítima do Windows usada para depuração. Ao reutilizar um componente confiável do sistema, o malware diminui indicadores típicos de execução maliciosa na memória e se camufla entre atividades normais.
Para a execução de cargas binárias (executáveis), o PHANTOMPULSE emprega outra técnica, denominada DbgNexum, que se baseia na Windows Debug API. Essa estratégia aproveita mecanismos de depuração do próprio sistema operacional para carregar e executar código malicioso em processos legítimos, contornando parte das proteções tradicionais e tornando mais complexa a distinção entre comportamento normal e atividade hostil.
Outro ponto crítico é a capacidade do implante de contornar o Controle de Conta de Usuário (UAC) do Windows, recurso projetado para impedir que aplicações elevem privilégios sem autorização do usuário. O malware explora uma interface COM (Component Object Model) para criar uma tarefa agendada com privilégios administrativos. Em seguida, relança sua própria execução com direitos elevados, passando a operar com poder equivalente ao de um administrador. Caso esse método falhe, o PHANTOMPULSE tenta variantes alternativas usando o processo rundll32, ampliando as chances de sucesso na obtenção de privilégios.
A utilização de blockchain como camada de comunicação também é um diferencial preocupante. Em vez de depender apenas de servidores de comando e controle tradicionais, que podem ser bloqueados ou derrubados, o malware pode registrar e consultar instruções, chaves ou dados por meio de transações ou estruturas associadas a redes blockchain. Isso dificulta o rastreio da infraestrutura do atacante e aumenta a resiliência da campanha, já que a remoção de um único servidor não é suficiente para interromper toda a operação.
Os pesquisadores identificaram ainda sinais de que a criação e evolução do PHANTOMPULSE podem ter sido auxiliadas por ferramentas de inteligência artificial. Entre os indícios, aparecem mensagens internas detalhadas, comentários e estruturas de depuração pouco comuns em códigos escritos manualmente, sugerindo o apoio de modelos de geração de código ou assistentes automatizados durante o desenvolvimento. Esse elemento adiciona uma camada extra de preocupação: criminosos estão conseguindo acelerar o ciclo de criação, teste e atualização de malware com suporte de IA.
Para o setor de criptomoedas, o impacto potencial é significativo. Plataformas de exchange, carteiras digitais, softwares de trading, aplicativos de gestão de portfólio e até ambientes de desenvolvimento de smart contracts tendem a rodar em máquinas com alto valor financeiro associado. Um trojan de acesso remoto com as capacidades do PHANTOMPULSE pode registrar teclas digitadas, capturar telas, extrair arquivos de configuração, roubar chaves privadas e manipular transações, comprometendo tanto usuários individuais quanto organizações.
A cadeia de ataque iniciada pelo abuso de plugins do Obsidian também expõe um problema mais amplo: a confiança excessiva em ecossistemas de extensões e integrações. Ferramentas de produtividade, organização de conhecimento e desenvolvimento acabam se tornando vetores ideais para ataques direcionados, pois muitas vezes recebem permissões amplas e são pouco monitoradas pelos usuários. No contexto de criptomoedas, profissionais que registram senhas, seed phrases ou estratégias de investimento em notas, wikis e documentos internos ampliam a superfície de ataque sem perceber.
Do ponto de vista defensivo, mitigar ameaças como o PHANTOMPULSE exige uma combinação de medidas técnicas e de governança. O uso de soluções de segurança com monitoramento comportamental e detecção em memória é essencial, já que o malware tenta evitar ao máximo interagir com o disco. Ferramentas de EDR (Endpoint Detection and Response) capazes de identificar padrões anômalos de injeção de código, uso abusivo da Debug API, criação suspeita de tarefas agendadas e atividade incomum envolvendo COM e rundll32 aumentam a chance de bloquear a ameaça em tempo hábil.
Além disso, é fundamental reforçar a gestão de privilégios. Contas administrativas devem ser estritamente controladas, e o UAC não deve ser desativado ou relaxado sem justificativa. Políticas de “menor privilégio” reduzem o impacto de um eventual comprometimento, dificultando que um malware eleve seus poderes na máquina. Em ambientes corporativos, segmentar máquinas que lidam com chaves privadas ou operações sensíveis em redes isoladas e com controles extras de autenticação minimiza o risco de movimentação lateral de um atacante.
Organizações envolvidas com criptoativos também precisam revisar com rigor o uso de plugins e integrações em ferramentas internas. Só devem ser adotadas extensões de origem conhecida, mantidas e atualizadas com frequência, evitando itens pouco documentados ou abandonados. Auditorias periódicas, inventário de software e revisão de permissões concedidas a cada plugin são práticas que contribuem para reduzir a exposição a campanhas como a da cadeia REF6598.
No campo da conscientização, equipes de segurança devem orientar usuários – especialmente aqueles que manipulam ativos digitais – sobre os riscos de armazenar informações sensíveis em notas não criptografadas, anexos desprotegidos ou aplicativos sem camada adicional de segurança. O uso de cofres de senhas, hardware wallets e mecanismos offline para guardar seed phrases é decisivo para limitar o estrago, mesmo que um dispositivo seja comprometido por um RAT.
Outro ponto que merece atenção é a velocidade com que ameaças assistidas por IA podem evoluir. Se o desenvolvimento do PHANTOMPULSE tiver sido de fato acelerado por ferramentas de inteligência artificial, é razoável esperar variantes mais rápidas, modulares e adaptáveis, capazes de mudar assinaturas, ajustar vetores de ataque e testar novos métodos de evasão quase em tempo real. Isso exige que defensores também incorporem IA em suas estratégias, encurtando o intervalo entre detecção, resposta e contenção.
Por fim, o caso do PHANTOMPULSE evidencia uma tendência clara: ataques contra o ecossistema de criptomoedas estão se tornando mais sofisticados e especificamente desenhados para esse nicho. Não se trata apenas de phishing básico ou roubo de credenciais em páginas falsas, mas de operações avançadas que exploram fraquezas em ferramentas do dia a dia, manipulam componentes legítimos do sistema operacional e usam infraestrutura resiliente, como blockchain, para garantir controle contínuo sobre as máquinas infectadas. Preparar-se para esse cenário passa, obrigatoriamente, por combinar tecnologia, processos robustos e uma cultura de segurança madura em todos os níveis da organização.