Shadow Vector ataca usuários da Columbia com avisos judiciais urgentes falsos

Outros idiomas disponíveis:English Deutsch Español Français 日本語 Svenska

Autores: Santiago Pontiroli, Jozsef Gegeny, Ilia Dafchev

Resumo

A Unidade de Pesquisa de Ameaças (TRU) da Acronis identificou uma campanha de malware ativa que tem como alvo usuários na Colômbia e que utiliza arquivos de gráficos vetoriais escaláveis maliciosos (SVG) como vetor de infecção inicial.

Os atacantes distribuíram e-mails de spear-phishing, fazendo-se passar por instituições confiáveis na Colômbia, que continham iscas SVG com links incorporados para stagers JS / VBS hospedados em plataformas públicas ou arquivos ZIP com proteção por senha contendo os payloads diretamente.

Os payloads incluíam ferramentas de acesso remoto (RATs) como AsyncRAT e RemcosRAT, ambas entregues por meio de carregamento lateral de DLL e técnicas de escalonamento de privilégios baseadas em driver.

As campanhas recentes dependem de payloads ofuscados em vários estágios e incluem um carregador .NET que exibe comportamento consistente com o Katz Loader. Ele inclui recursos de bypass do UAC, anti-análise, injeção de processo e persistência, com payloads às vezes ocultos como Base64 em arquivos de texto ou imagem recuperados do Internet Archive.

O Shadow Vector combina engenharia social tradicional, abuso de infraestrutura pública e técnicas de execução furtivas, refletindo um alto nível de flexibilidade operacional e uma maturidade técnica em evolução dos atores de ameaças regionais na América Latina.

O foco atual das ameaças do malware atinge tanto indivíduos quanto organizações, permitindo keylogging, roubo de credenciais (inclusive credenciais bancárias) e acesso remoto completo a sistemas comprometidos. Embora seu uso atual se concentre no roubo de dados confidenciais e sigilosos, suas capacidades sugerem potencial para expansão em ações mais destrutivas, como a implantação de ransomware.

Introdução

Uma Unidade de Pesquisa de Ameaças (TRU) da Acronis identificou uma campanha de malware em andamento chamada Shadow Vector, que está atacando ativamente usuários na Colômbia por meio de arquivos SVG maliciosos que se disfarçam de notificações judiciais urgentes. Esses e-mails enganosos empregam SVG smuggling, uma subtecnologia recém-adicionada ao framework MITRE ATT&CK.

O contrabando de SVG envolve o uso de arquivos de gráficos vetoriais escaláveis para ocultar ou entregar sumário malicioso. Embora não seja uma tática nova, a sua formalização destaca o uso crescente de formatos de arquivo confiáveis, porém flexíveis, na entrega de phishing e malware modernos. Os arquivos SVG são exibidos de forma limpa em navegadores, suportam links ou scripts incorporados e frequentemente burlam controles de segurança de e-mail tradicionais.

Uma vez abertos, esses arquivos SVG direcionam os usuários para baixar e extrair payloads hosting em serviços públicos de compartilhamento de arquivos, como Bitbucket, Dropbox, Discord e YDRAY. Os arquivos compactados baixados incluem tipicamente uma combinação de executáveis legítimos e DLLs maliciosas, iniciando uma cadeia de infecção em várias etapas que, por fim, entrega o AsyncRAT e o RemcosRAT, duas ferramentas de acesso remoto amplamente utilizadas para roubo de dados.

Entrega – malware distribuído

O mecanismo de entrega do Shadow Vector reflete uma operação de phishing cuidadosamente estruturada, que se aproveita da engenharia social e da confiança do público em instituições nacionais. Os e-mails observados nesta campanha são projetados para parecer notificações legais legítimas e contêm anexos SVG que são renderizados no navegador, uma tática que ajuda a evitar a filtragem de contêineres e incentiva a interação do usuário sem levantar suspeitas.

O sumário dos arquivos SVG é visualmente consistente, muitas vezes imitando formatos oficiais de tribunal com variação mínima. Cada arquivo inclui um resumo do caso seguido por um link incorporado, geralmente rotulado como access to additional legal documentation (acesso a documentação legal adicional). Esses links redirecionam os usuários para arquivos em hosting em plataformas públicas de compartilhamento de arquivos, como Bitbucket, Discord CDN e YDRAY — um método que permite que os payloads se misturem ao tráfego legítimo e evitem os sistemas de detecção baseados em reputação.

Cada arquivo compactado é protegido por uma senha, que geralmente é exibida no interior do arquivo SVG ou fornecida no corpo do e-mail de phishing. Essa tática aumenta o envolvimento do usuário e reduz a inspeção baseada em automação, exigindo a extração manual. Depois de descompactado, o arquivo contém um executável legítimo, uma DLL benigna, mas vulnerável, e uma única DLL maliciosa, projetada para ser carregada lateralmente, permitindo que o malware seja executado em um processo confiável e evite a detecção.

De forma notável, o Conselho Superior de Judicatura (em espanhol: Consejo Superior de la Judicatura) emitiu um aviso público alertando funcionários judiciais e cidadãos sobre a atividade de phishing em andamento, que abusa do branding do Poder Judiciário. O alerta fez referência específica a e-mails que distribuem anexos maliciosos sob o pretexto de assuntos relacionados a tribunais e recomendou vigilância redobrada ao lidar com mensagens que solicitam o download de documentos. O documento também descreveu procedimentos para verificar a legitimidade dessas comunicações e incentivou a denúncia de tentativas de phishing suspeitas a canais institucionais oficiais.

Arquivo de caso: AsyncRAT via carregamento lateral de DLL

Nesta versão da campanha Shadow Vector, a vítima recebe um e-mail de phishing com um arquivo SVG. A partir daí, eles baixam um arquivo com proteção por senha e extraem seu sumário. Dentro, há um executável que parece legítimo e vários arquivos DLL, um dos quais contém o payload do AsyncRAT. O executável principal geralmente utiliza nomes como vcredist.exe para parecer inofensivo. Um sinal comum nesses exemplos é a presença de um arquivo mscorlib.dll que sempre tem o mesmo tamanho e estrutura. Apesar do nome, este arquivo não é uma biblioteca .NET real, mas um arquivo personalizado usado para ocultar o malware. O ataque utiliza carregamento lateral de DLL, em que o executável com aparência limpa carrega a DLL maliciosa e inicia o processo de infecção do AsyncRAT.

Cadeia de execução carregada lateralmente

O executável inicial é um aplicativo legítimo que invoca a função BrotliEncoderCreateInstance() da biblioteca ‘libbrotlicommon.dll’. Devido à ordem de pesquisa de DLLs do Windows, o sistema carrega uma versão maliciosa dessa DLL, colocada no mesmo diretório. Essa técnica de carregamento lateral de DLL permite a execução de código controlado pelo atacante em um processo confiável e é observada de forma consistente em todas as amostras analisadas na campanha.

Dentro da DLL carregada, a primeira ação é criar um identificador para o arquivo mscorlib.dll localizado no mesmo diretório e ler seu sumário. Embora o arquivo contenha um cabeçalho PE válido, várias ferramentas de detecção o identificam erroneamente como um binário não executável. Uma inspeção manual em HEX revelou que 9 bytes adicionais foram inseridos no início do arquivo, compensando intencionalmente o cabeçalho PE. Essa manipulação interrompe a análise automatizada e causa erros em ferramentas de detecção e descompilação de PE, agindo efetivamente como um mecanismo leve de anti-análise.

O payload cria então um processo legítimo, AddInProcess32.exe, em estado suspenso e executa um process hollowing para injetar e executar o módulo malicioso. Essa técnica envolve a alocação de memória no processo-alvo e a gravação do payload usando uma série de chamadas de API do Windows, incluindo: NtAllocateVirtualMemory, GetProcessHeap, RtlAllocateHeap, Wow64GetThreadContext, NtWriteVirtualMemory, Wow64SetThreadContext e NtResumeThread. Isso permite que o malware seja executado no contexto de um binário de sistema confiável, evitando a detecção.

Logo antes da chamada para ‘NtWriteVirtualMemory’, podemos observar a DLL carregada na memória sem os primeiros 9 bytes, como estava no arquivo original. Em seguida, ele cria uma nova thread, define seu contexto e a retoma. Após isso, o programa atual é encerrado.

Após a injeção no processo em execução, o payload .NET real se torna visível e é reconhecido como um cliente AsyncRAT, derivado de uma implementação C# de código aberto.

Configuração

No início da execução, o malware carrega sua configuração, descriptografando vários valores criptografados com AES, incluindo servidores C2, flags de instalação e outras configurações de tempo de execução. A chave AES está embutida na amostra, codificada em Base64. A configuração pode ser descriptografada com o uso de ferramentas públicas, como o CyberChef com uma receita do AsyncRAT conhecida.

Depois que todas as configurações forem descriptografadas, o malware verifica a integridade delas comparando o hash do certificado do servidor decodificado com o valor esperado. A seguir, temos um exemplo de configuração descriptografada obtida durante a análise:

Configurações

Valor

Chave

"zZ5OP9zoIeGTxRmoYxR6XEu0yUxV6wAE"

Portas

7788

hosts

"asynk02[.]duckdns[.]org"

Versão

"| CRACKED BY https://t[.]me/xworm_v2"

Instalação

false

Mutex

"AsyncMutex_6SI8OkPnk"

PasteBin

null

Anti

false

KL offline

false

BDOS

false

Grupo

Padrão

Assinatura do servidor

"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"

Para verificar se o payload malicioso está sendo executado em um ambiente de análise, ele executa várias funções:

Função

Ação

Verificar fabricante

Obter o nome do fabricante e comparar com: “VIRTUAL”, “vmware”, “VirtualBox”

Detectar depurador

Executar “CheckRemoteDebuggerPresent”

Detectar sandbox

Tentar obter o identificador para a biblioteca “SbieDll.dll”

Verificar o tamanho do disco

Verificar se o tamanho do disco é menor que 61000000000 bytes

É XP

Verifique se o sistema atual é o Windows XP

Se alguma dessas funções retornar true, ela chama Environment.FailFast(), que termina o processo.

Instalação e persistência

Quando a configuração ‘Install’ estiver como true, ele entrará em uma função que estabelecerá a persistência. Primeiro, ele se copia para o novo caminho usando o valor da pasta da configuração, se presente, e então executa o comando ‘schtasks’ para definir AutoStart (início automático) no login.

Em seguida, ele define uma chave de registro AutoStart. O caminho para a chave é armazenado em formato reverso. Por exemplo, usando ‘\nuR\noisreVtenrretnuC\swodniW\tfosorciM\erawtfoS’ em vez de ‘Software\Microsoft\Windows/CurrentVersion/Run’, uma técnica comum (e simples) usada por malware para ocultar esse comportamento.

Finalmente, ele executa um script em lote que inicia o payload a partir do novo local e exclui a versão antiga.

Cada tecla que você pressiona, cada movimento que você faz — eles estarão observando.

Após a conclusão da configuração inicial, o payload inicia duas threads. O primeiro monitora e armazena continuamente o carimbo de data/hora da última entrada do usuário. A segunda funciona como um keylogger, definindo um gancho de janela para rastrear o processo ativo na tela e fazer log de cada tecla digitada pelo usuário.

Para comunicação com o servidor, o payload oferece suporte a vários métodos de conexão, dependendo da configuração do Pastebin. Se essa configuração for definida como nula, o domínio especificado na configuração incorporada da amostra será utilizado. Ele verifica primeiro se o nome de domínio é válido, utilizando ClientSocket.IsValidDomainName(). Se for uma validação bem-sucedida, ele tenta resolver o domínio usando Dns.GetHostAddresses() e itera sobre cada endereço IP retornado, tentando estabelecer uma conexão via ClientSocket.TcpClient.Connect(). Se uma conexão for bem-sucedida (ClientSocket.TcpClient.Connected), o loop é interrompido. Se o domínio não for válido ou a resolução falhar, ele tenta se conectar diretamente usando a string original e uma porta predefinida. Essa lógica oferece redundância para garantir que o malware alcance sua infraestrutura de comando e controle de TI.

Uma vez estabelecida a conexão, o malware transmite detalhes sobre a vítima, incluindo informações do sistema e metadados sobre a amostra executada.

Além disso, o malware verifica a presença de carteiras de criptomoedas e extensões específicas do navegador, inspecionando pastas designadas. Se encontrar alguma, define o valor correspondente como ‘true’. A seguir, a lista de identificadores que ele utiliza:

Meta_Firefox, Meta_Chrome, Meta_Brave, Meta_Edge, Meta_Opera, Meta_OperaGX, Phantom_Chrome, Phantom_Brave, Binance_Chrome, Binance_Edge, TronLinkChrome, Exodus_Chrome, BitKeep_Chrome, CoinBase_Chrome, Ronin_Chrome, Trust_Chrome, BitPay_Chrome, F2a_Chrome, F2a_Brave, F2a_Edge, Ergo_Wallet, Ledger_Live, Atomic, Exodus, Electum, Coinomi, Binance, Bitcoin_Core

O cliente recebe dados do servidor em um formato codificado. Primeiro, ele descompacta o sumário usando a função Zip.Decompress(), e depois decodifica a mensagem. Após ler um byte da mensagem, ele o compara com valores predefinidos. Com base no resultado, ele executa várias operações, como troca de bytes e conversão dos dados em tipos de dados específicos de TI.

Quando um comando é recebido do servidor, o payload o extrai do pacote, computa seu hash e o compara com os valores armazenados. Cada comando também é comparado diretamente com o conjunto de comandos válidos predefinido:

getscreen, uacoff, killps, ResetHosts, weburl, Chrome, plugin, ResetScale, passload, Wallets, savePlugin, Fox, pong, DiscordTokens, setxt, WDExclusion, KillProxy, Net35, klget, Avast, Block, WebBrowserPass, gettxt, anydesk, backproxy

Uma vez identificado o comando apropriado, o payload chama a função Plugins(), que dispara um procedimento específico com base no parâmetro fornecido.

Esses plug-ins representam os componentes funcionais de cada comando. Por padrão, nem todos os plug-ins são incluídos no payload inicial. Em vez disso, eles podem ser baixados do servidor quando os comandos ‘plugin’ ou ‘savePlugin’ são recebidos. A seguir, uma lista de comandos e ações correspondentes incluídos no payload:

Comando

Ação

killps

Encerrar processo

ResetHosts

Limpar o arquivo “\\hosts.backup”

weburl

Abra o URL fornecido usando “Process.Start”

plugin

Baixe e invoque o plugin de payload

ResetScale

Use SPI SETLOGICALDPIOVERRIDE para alterar a escala

pong

Alterar o intervalo entre as comunicações cliente-servidor da comunidade

klget

Obter arquivo de log do keylogger

Bloco

Modifique o arquivo ‘\\hosts’ para bloquear um endereço IP específico

gettxt

Obter dados da área de transferência

Assinado e entregue: abuso de drivers vulneráveis e carregamento lateral de DLL

Dentro do arquivo ZIP, desta vez, encontramos um executável falso e duas DLLs, uma legítima e outra com armadilhas. O lado executável carrega a DLL legítima "CiscoSparkLauncher.dll", que por sua vez aciona a DLL maliciosa para decodificar e implantar três arquivos no diretório "%Temp%": dois drivers vulneráveis usados para escalonamento de privilégios no nível do kernel e o payload final do RemcosRAT.

O executável inicial chama uma função do arquivo legítimo "CiscoSparkLauncher.dll", que, por sua vez, invoca GetFileVersionInfoSizeW() do arquivo "VERSION.dll". Neste caso, "VERSION.dll" é uma DLL maliciosa, indicando um carregamento lateral de DLL clássico. A DLL maliciosa emprega ofuscação de fluxo de controle em suas funções, usando loops e verificações condicionais para retardar a análise.

Ele aloca um novo bloco de memória com 5982208 bytes de tamanho e copia os dados da seção ‘.rdata’. Na verdade, o tamanho desta seção é de 5989888 bytes e, ao copiá-la, ele pula os primeiros 7680 bytes. Como resultado, somente os dados codificados serão copiados desta seção. Em seguida, ela começa a resolver vários endereços de API do Windows a partir das bibliotecas "kernel32.dll", 'ADVAPI32.dll' e "ole32.dll".

Os dados que foram copiados da seção ‘.rdata’ são então passados para a função de decodificação. Aqui, ele primeiro constrói uma chave a partir de dois valores de 16 bytes e decodifica a seção usando a operação ‘XOR’.

Durante a execução, ele decodificará dados adicionais da mesma forma, mas usando uma chave diferente:

Os dados decodificados incluem um código adicional que é executado após a descriptografia. Este código realiza primeiramente verificações de máquinas virtuais, inspecionando o nome do sistema em busca de indicadores como ‘vmware’ ou ‘virtualbox’, avaliando a memória disponível, a contagem de CPUs e a resolução da tela. Se alguma dessas condições sugerir um ambiente virtualizado, o programa termina a execução.

Ele copiará a si mesmo junto com os arquivos "CiscoSparkLauncher.dll" e "VERSION.dll" para a pasta "%Temp" e executará o próximo comando para estabelecer a persistência:

C:\Windows\system32\cmd.exe /c schtasks /create /tn "Yt4Bvc2G" /tr "C:\Users\DEV\AppData\Roaming\DEMANDA LABORAL JUDICIAL 2313154.exe" /sc onlogon /rl highest /f

Para burlar o software antimalware, ele verifica a presença dos caminhos das pastas e, em seguida, usa as funções "CreateToolHelp32Snapshoot", "Process32First" e "Process32Next" para listar todos os processos em execução e encerrar aqueles que correspondem à lista salva de nomes de processos:

AnhRpt, Ahnsd, v3sp, mupdate2, autop, ArtHost, ASDSvc, v3lite4, v314sp, V3Light, V3Medic, V3SVC, AhnLabPolicyAgent, eausvc, AYUpdate.aye, ALYac.aye, AYAgent.aye, AYUpdSrv.aye, AYWSSrv.aye, AYTRSrv.aye, ALMountService, eOppFrame, egui, eguiProxy, efwd, ekrn, mc-fwhost, mc-web-view, mcupdate, mfwc, updaterui, mfeann, mcuicnt, mfevtps, mfetp, mfemms, McShield, AvEmUpdate, icarus_ui, overseer, AVGUI, aswidsagent, afwServ, avgToolsSvc, aswEngSrv, AVGSvc, wsc_proxy, overseer, wa_3d_party_host_64, su_worker, wa_3d_party_host_32, AvastBrowserUpdate, AvBugReport, AvastBrowserProtect, icarus_ui, icarus, AvastUI, aswidagent, afwServ, aswToolSvc, aswEngSrv, AvastSvc, wsc_proxy, MpCmdRun, NisSrv, MsMpEng, smartscreen, MpDefenderCoreService, HipsMain, wsctrlsvc, HipsTray, TrafficPort, HipsDaemon, 360UHelper, 360speedld, safesvr, SoftMgr, LiveUpdate360, inst, 360Safe, 360leakFixer, 360Tray, ZhuDongFangYu, PopTip, 360TsLiveUpd, certuril, PromoUtil, PopWndLog, QHSafeTray, QHWatchdog, QHActiveDefense, QHSafeMain, HipsMain, wsctrlsvc, HipsTray, TrafficPort, HipsDaemon

Em seguida, ele lê dados adicionais da seção '.rdata', decodifica-os e grava três arquivos na pasta ‘%Temp’:

Nome do arquivo

Descrição

VFZE6ksYnpPfSnEWUNg.sys

Driver vulnerável do WiseCleaner

cuDX73ob9SxeAS0IdV.sys

Driver vulnerável da Zemana

svchost.exe

RemcosRAT

Ambos os drivers vulneráveis são lançados como serviços de modo kernel. A amostra, em seguida, utiliza a função DeviceIoControl() com o código de controle 0x80002010 para registrar o processo svchost.exe como autenticado e, finalmente, termina a si mesma.

O payload analisado armazena sua configuração como um recurso criptografado. O primeiro byte indica o tamanho da chave, seguido pela chave de criptografia RC4. Os dados restantes contêm a configuração criptografada.

A configuração descriptografada revela vários parâmetros operacionais usados pelo malware, incluindo o endereço e a porta do servidor de comando e controle (C2), o nome da botnet, o tamanho máximo para os arquivos de log do keylogger, o nome do binário e o nome do mutex. Ele também especifica o intervalo de captura de tela em segundos, os nomes das pastas designadas para armazenar as capturas de tela e as gravações de áudio, e um número de licença, provavelmente usado para rastrear implantações ou o uso por afiliadas.

Ofuscação sustentada

No momento em que este texto foi escrito, um novo capítulo da campanha Shadow Vector estava se desenrolando, ampliando as técnicas de contrabando de SVG previamente documentadas. Nesta iteração, o ator da ameaça adota uma abordagem modular, implantando um loader associado ao Katz Stealer. A cadeia de infecção ainda começa com iscas SVG cuidadosamente elaboradas, mas agora inclui estágios JavaScript e PowerShell, um bypass do UAC (Controle de Conta de Usuário) via cmstp.exe e uma DLL carregadora .NET dinâmica equipada com recursos antianálise, injeção de processos e mecanismos de persistência opcionais.

O ator de ameaças por trás da última atividade do Shadow Vector está usando vários repositórios do Bitbucket para hosting de stagers maliciosos em JavaScript e VBS. Um desses repositórios, “notificaciones-judiciales2025-2005”, registrou mais de 170 downloads combinados de seus payloads distribuídos em apenas algumas horas após o armazenamento distribuído, em 28 de maio de 2025. Esse volume de atividade sugere que uma campanha de phishing coordenada provavelmente estava em andamento durante esse período. Entre os aliases de carregamento observados, ‘TheMrHacker’ se destaca em relação ao uso, de outra forma consistente, do rótulo genérico ‘Envio’, oferecendo potencialmente uma pista sobre a identidade do operador.

A cadeia de infecção começa com um arquivo JavaScript disfarçado como um aviso legal, neste caso denominado ‘001-Notificacion_electronica_demanda_judicial_Departamento_Juridico.js’, que ACT como um dropper inicial. Ao ser executado, ele recupera um script de segundo estágio do Paste.ee.

Este script ofuscado de acompanhamento lança um comando do PowerShell configurado para ser executado silenciosamente (-nop -w hidden) usando Invoke-Expression, que é capaz de buscar sumário adicional codificado de dois endpoints do Paste.ee (ambos com o mesmo hash SHA256).

No estágio final, o script faz o download de uma DLL codificada em Base64 do Internet Archive, normalmente disfarçada em um arquivo de texto hosting em archive[.]org/replace_202505/REPLACE[.]txt. Em alguns casos, ele recupera um arquivo de imagem contendo um payload Base64 incorporado e oculto no sumário da imagem. O script extrai e decodifica o payload e, em seguida, carrega a DLL diretamente na memória usando o método [Reflection.Assembly]::Load() do PowerShell.

A cadeia de infecção em vários estágios entrega uma DLL .NET que carrega e executa dinamicamente o método dnlib.IO.Home.VAI(), um comportamento consistente com amostras conhecidas do Katz Loader. Embora o loader corresponda a várias assinaturas YARA associadas ao Katz Stealer, ele não o implanta neste caso. Em vez disso, ele recupera o payload final em tempo de execução e o executa inteiramente na memória, sem deixar artefatos no disco. O carregador implementa recursos avançados, como verificações anti-depuração e anti-manipulação, uma opção de bypass do UAC (Controle de Conta de Usuário) usando cmstp.exe e descriptografia de string a partir de um recurso blob criptografado. Ele utiliza o processo de esvaziamento para injetar código em binários legítimos e mantém a persistência por meio de tarefas agendadas e modificações no registro. Ele também permite a configuração em tempo de execução de verificações anti-VM.

Várias strings incorporadas no código do carregador estão escritas em português, incluindo mensagens como “Baixar e executar o PuTTY a cada 1 minuto indefinidamente”, “Extensão não suportada”, “Recurso 'UAC.dll' não encontrado!”, e “Erro ao executar a DLL em memória”. Essas mensagens, combinadas com os nomes de parâmetros usados no método VAI (por exemplo, "caminhovbs", "persitencia", "extenção", "nomedoarquivo"), sugerem que o loader compartilha elementos de design ou reutilização de código com ferramentas desenvolvidas por agentes de ameaças falantes de português, notadamente aqueles envolvidos em campanhas de malware com motivação financeira que têm o Brasil como alvo.

Encerrando os argumentos

Uma evolução natural das técnicas anteriores de contrabando de SVG, esse ator de ameaças adotou um carregador modular residente na memória que pode executar payloads de forma dinâmica e inteiramente na memória, deixando poucos rastros. Esse carregador é entregue por meio de uma cadeia de infecção em vários estágios que depende de plataformas de hosting públicas, uma abordagem que complica os esforços de atribuição e desativação.

A presença de strings e parâmetros de método em português no loader reflete TTPs comumente observados em malwares bancários brasileiros, sugerindo reutilização de código, compartilhamento de recursos de desenvolvimento ou até mesmo colaboração entre atores de diferentes regiões.

O foco contínuo da campanha em alvos latino-americanos, o uso de falsificação institucional e a implantação rápida e escalável destacam uma ameaça persistente e em evolução.

Detectado pela Acronis

Indicadores de comprometimento

YARA

rule crimeware_shadow_vector_svg

{

meta:

description = "Detects malicious SVG files associated with Shadow Vector's Colombian campaign"

author = "Acronis TRU"

date = "2025-06-06"

file_type = "SVG"

malware_family = "Shadow Vector"

threat_category = "Crimeware / Malicious Image / Embedded Payload"

tlp = "TLP:CLEAR"

strings:

$svg_tag1 = "<?xml" ascii

$svg_tag2 = "<svg" ascii

$svg_tag3 = "<!DOCTYPE svg" ascii

$svg_tag4 = "http://www.w3.org/2000/svg" ascii

//used by Shadow Vector (possibly generated in batch)

$judicial = "juzgado" ascii nocase

$judicial_1 = "citacion" ascii nocase

$judicial_2 = "judicial" ascii nocase

$judicial_3 = "despacho" ascii nocase

$generado = "Generado" ascii nocase

condition:

filesize < 3MB and

3 of ($svg_tag*) and

(1 of ($judicial*) and $generado)

}

Referências

MuchoHacker. “E-mails falsos com arquivos SVG que podem conter malware estão sendo enviados em nome de hospitais e do Poder Judiciário na Colômbia”. 31 de outubro de 2024.

https://muchohacker.lol/2024/10/correos-de-hospital-y-rama-judicial-en-colombia-son-usados-para-enviar-correos-falsos-con-archivos-svg-que-podrian-contener-malware

SciLabs. “Red Akodon: um novo ator de ameaças distribuindo RAT para a Colômbia.” 27 de maio de 2024.

https://blog.scilabs.mx/en/2024/05/27/red-akodon-a-new-threat-actor-distributing-rat-to-colombia

Shadow Vector ataca usuários da Columbia com avisos judiciais urgentes falsos

Resumo

Introdução

Entrega – malware distribuído

Cadeia de execução carregada lateralmente

Configuração

Instalação e persistência

Cada tecla que você pressiona, cada movimento que você faz — eles estarão observando.

Assinado e entregue: abuso de drivers vulneráveis e carregamento lateral de DLL

Ofuscação sustentada

Encerrando os argumentos

Detectado pela Acronis

Indicadores de comprometimento

SVG

Pacotes

Payloads

YARA

Referências