Noite silenciosa: malware bancário que atinge o seu navegador

Mergulhamos nas redes de dispositivos zumbis (botnets) e descobrimos as maldades do malware Noite Silenciosa (Silent Night ou Zloader 2), um dos sucessores do maligno Zeus.

O Noite Silenciosa é um malware bancário que fornece acesso não-autorizado a sistemas financeiros, bancários e sistemas de pagamento online. Ele é composto de vários módulos e funções que baixam e executam código malicioso nos navegadores para roubar dados.

Malware bancário que já infectou o Google Adwords

Entre 2006 e 2008, o código-fonte do malware Zeus vazou na internet e surgiram muitas variantes. A família Zloader surgiu* no final de 2016 e as primeiras redes zumbis com o Silent Night apareceram* nos mercados negros da darkweb em 2019.

Inicialmente distribuído por e-mails, durante a pandemia, os cibercriminosos conseguiram invadir o Google AdWords para mostrar links do app de comunicação Zoom infectado com o Zloader. Outras campanhas usaram sites de conteúdo adulto e solicitavam que os usuários baixassem um app para assistir a vídeos.

ZmMYYUJfjI2rdiRWIRRvPDsaecgIezMrlYIA8BAYAjlcPVJenIp7lbvrmEpN_XtJs4NRcT19doiFw9__EqI5ZBEPXkQSQUfRKHS69lh2muuBOU-s536GyrlNd74KEyeAh-21EFu7Mapa com dispositivos infectados com o Noite Silenciosa

Os alvos do malware Noite Silenciosa

Depois de ser baixado e ativado, o Noite Silenciosa entra em contato com vários servidores remotos (C&C), inicia o módulo Downloader que baixa, instala e executa o próximo módulo, o Backdoor.

Este, por sua vez, é muito mais complexo e é o responsável pelo processo de acesso remoto, injeção de código malicioso nos navegadores, captura da tela (screenshot) e das senhas digitadas (keylogging). Ele também rouba dados de login (cookies) dos navegadores Chrome, Firefox e Edge, informações das contas de e-mail do Microsoft Outlook e arquivos de carteiras de moedas digitais (Exodus, Zcash e Bitcoin-Qt).

Algumas das assinaturas digitais são as mesmas de outra família de malwares – a Ursnif*, também conhecida como Gozi ou ISFB – e eles compartilham alguns dos mesmos servidores. Alguns dos nomes das redes zumbis utilizam palavras eslavas, o que dá indícios sobre a origem dos cibercriminosos por trás desses ataques.

Os alvos são funcionários e empresas financeiras como bancos, corretoras, seguradoras, serviços de pagamento, serviços relacionados a criptomoedas (Electrum e Ethereum).

Uma análise técnica desse ataque foi feita por Vladimir Martyanov* no nosso blog Decoded.io*. Recomendamos que você mantenha o seu antivírus Avast sempre ligado para bloquear automaticamente e em tempo real esses ataques.


A Avast é líder global em segurança cibernética, protegendo centenas de milhões de usuários em todo o mundo. Saiba mais sobre os produtos que protegem sua vida digital em nosso site e receba todas as últimas notícias sobre como vencer as ameaças virtuais através do nosso Blog, no Facebook ou no Twitter.

* Original em inglês.

Photo by Vincent Chin on Unsplash

--> -->