Blog

Lazarus usa RemotePE em memoria contra empresas financeiras e cripto

Escrito por Luiz Claudio | 25/05/2026 20:04:50
Malware

Lazarus usa RemotePE: saiba como o ataque opera

Campanha mira finanças e cripto com golpe social, carregadores em etapas e malware só na memória.

Navegacao

O que e o RemotePE Como a infeccao acontece Sinais de alerta Como se proteger Checklist pratico

Resumo rapido

Pesquisadores detalharam o RemotePE, malware usado pelo Lazarus Group contra empresas financeiras e de criptomoedas. A campanha começa com engenharia social no Telegram e usa domínios falsos de reunião. O ataque passa por DPAPILoader e RemotePELoader até executar o RemotePE somente na memória, sem gravar o módulo final em disco.

Neste artigo voce vai aprender:

  • O que é o RemotePE e por que ele dificulta a investigação.
  • Como o Lazarus Group abordou vítimas no Telegram.
  • Quais etapas fazem parte da cadeia de infecção.
  • Quais sinais práticos devem acender alerta em empresas.
  • Que medidas priorizar para reduzir o risco.

O que e o RemotePE

RemotePE é um malware de acesso remoto associado ao Lazarus Group, grupo ligado à Coreia do Norte segundo o texto analisado. Ele foi observado em ataques contra organizações financeiras e de criptomoedas. O ponto mais importante é que o módulo final roda inteiramente na memória: ele não é salvo como arquivo comum no disco, o que reduz rastros visíveis no computador afetado.

Segundo a análise citada, o RemotePE já havia aparecido em um caso no setor de finanças descentralizadas em setembro de 2025, junto de outras famílias de malware, como PondRAT e ThemeForestRAT.

Como a infeccao acontece

A cadeia descrita tem várias etapas. Primeiro, o invasor compromete o dispositivo de um funcionário por meio de engenharia social. No caso relatado, a vítima foi abordada no Telegram por alguém fingindo ser funcionário de uma empresa de trading. Depois, a pessoa foi levada a marcar reunião em domínios falsos que imitavam Calendly e Picktime.

Depois disso, entram dois carregadores. O DPAPILoader, identificado como DLL “Iassvc.dll”, usa a proteção de dados do Microsoft Windows, chamada DPAPI, para descriptografar outro componente salvo no disco. Esse segundo componente é o RemotePELoader, que se comunica por HTTP com o servidor “aes-secure[.]net”, busca o módulo principal e o executa na memória. Antes disso, ele tenta reduzir a visibilidade do ataque com técnicas de evasão citadas pelos pesquisadores.

Sinais de alerta

Como o RemotePE final não deixa um arquivo simples para ser encontrado, o foco deve estar nos comportamentos anteriores ao malware:

  • Contato no Telegram de alguém se passando por colega, parceiro ou funcionário de empresa de trading.
  • Convites de reunião em domínios que imitam Calendly ou Picktime, mas não são os oficiais.
  • Presença suspeita de DLL com nome “Iassvc.dll” em contexto não esperado.
  • Conexões HTTP para domínio “aes-secure[.]net”.
  • Atividade em múltiplas etapas: arquivo inicial, carregador intermediário e comunicação com servidor externo.

Como se proteger

Empresas financeiras e de cripto devem tratar convites externos como ponto crítico de risco. A ação mais simples é confirmar reuniões por um segundo canal antes de clicar em links recebidos por Telegram. Também é importante orientar equipes a desconfiar de perfis que alegam ser de empresas conhecidas, mas pressionam por agendamento rápido.

Na parte técnica, monitore conexões para domínios citados na investigação, revise alertas envolvendo DLLs incomuns e priorize visibilidade de comportamento, não apenas busca por arquivos. Como o RemotePE roda na memória, depender só de varredura por arquivos pode deixar lacunas.

Checklist pratico

  1. Bloqueie ou investigue acessos ao domínio “aes-secure[.]net” em logs de rede.
  2. Oriente equipes a validar convites de reunião recebidos por Telegram antes de abrir links.
  3. Revise ocorrências da DLL “Iassvc.dll” e qualquer execução fora de contexto conhecido.
  4. Procure domínios falsos parecidos com Calendly e Picktime em históricos de navegação.
  5. Use monitoramento comportamental para detectar carregadores e execução em memória.

Perguntas frequentes

O RemotePE afeta qualquer empresa?

O texto analisado destaca ataques contra organizações financeiras e de criptomoedas. Isso não significa que outros setores estejam imunes, mas mostra onde a campanha descrita foi observada.

Por que executar na memória é perigoso?

Porque o módulo final não fica gravado como arquivo comum no disco. Isso dificulta a coleta de evidências e pode atrasar a detecção quando a empresa depende apenas de busca por arquivos maliciosos.

O ataque começa sempre pelo Telegram?

No caso descrito, sim: a abordagem ocorreu pelo Telegram, com falsa identidade e agendamento em domínios falsos. Esse padrão deve ser tratado como sinal de alerta, principalmente em áreas financeiras e cripto.

Proteja sua empresa com a LC SEC

A LC SEC ajuda sua empresa a identificar campanhas de engenharia social, revisar sinais de comprometimento e fortalecer a resposta contra ameaças que operam em múltiplas etapas.

Falar com especialista

Conheca: Pentest, Threat Intelligence com IA, Conscientizacao de Seguranca, SGSI, Plano Diretor de Seguranca, Auditoria Interna, Governanca de MFA e Cofre TOTP, ISO 42001 - IA, Diagnostico Gratuito de Seguranca. lcsec.io

Fontes:
https://thehackernews.com/2026/05/lazarus-deploys-remotepe-memory-only.html
Visualizar publicação completa