Pesquisadores de segurança identificaram uma nova ferramenta de espionagem digital usada pelo grupo hacker norte-coreano Lazarus capaz de infectar computadores sem deixar rastros no disco rígido. O malware, apelidado de “vírus invisível”, funciona inteiramente na memória do sistema, tornando sua detecção muito mais difícil para softwares de proteção e equipes de investigação.
Batizado de RemotePE, o programa atua como um trojan de acesso remoto (RAT), permitindo que criminosos obtenham controle total sobre dispositivos comprometidos. O ataque começa com técnicas de engenharia social, nas quais os invasores se passam por profissionais de empresas de trading em plataformas como Telegram e marcam falsas reuniões online para convencer vítimas a executar arquivos maliciosos.
Segundo os pesquisadores, o malware utiliza recursos legítimos do Windows, como a Data Protection API (DPAPI), para criptografar componentes vinculados à máquina da vítima. Isso faz com que cada versão do código seja única, dificultando análises em plataformas tradicionais de detecção de ameaças.
Outra característica avançada da ferramenta é a capacidade de neutralizar mecanismos de monitoramento usados por softwares de segurança, além de desativar sistemas de rastreamento de eventos do Windows antes da execução do ataque. O carregamento do malware ocorre apenas após aprovação manual de operadores humanos conectados aos servidores de comando e controle.
Especialistas alertam que a campanha mostra a crescente sofisticação de grupos de cibercrime patrocinados por Estados, que investem em técnicas capazes de contornar antivírus, sistemas corporativos de defesa e análises forenses tradicionais.
