Logo TecMundo
Segurança

Vírus vampiro ataca pessoas desempregadas via email e redes sociais

O relato é importante para brasileiros: já existem indícios de diferentes golpes similares por aqui.

Avatar do(a) autor(a): Felipe Payão
Felipe Payão

schedule07/10/2025, às 17:43

updateAtualizado em 08/10/2025, às 09:54

Uma nova campanha maliciosa busca infectar pessoas em busca de um emprego — e também contratantes. Perpetuada por um cibercriminoso conhecido como BatShadow, a ação utiliza engenharia social para recrutar vítimas e distribuir arquivos PDF e documentos infectados.

“Quando abertas, essas iscas acionam a cadeia de infecção de um malware baseado em Go que chamamos de Vampire Bot”, explicam os pesquisadores da empresa de soluções de rede e segurança Aryaka. “A campanha demonstra como os cibercriminosos exploram a confiança em fluxos de trabalho profissionais para obter persistência, conduzir vigilância de sistema e exfiltrar informações confidenciais, tudo isso enquanto misturam suas atividades ao tráfego aparentemente normal”.

smart_display

Nossos vídeos em destaque

Facebook, LinkedIn, Instagram e emails: todos os serviços podem ser usados para encontrar vítimas

O relatório não indica quais países são atacados pela campanha, contudo, as provas técnicas do malware são apresentadas em língua inglesa — ou seja, os Estados Unidos devem ser o principal alvo. Mesmo assim, o relato é importante para brasileiros: já existem indícios de diferentes golpes similares por aqui

Leia Mais
Drone ucraniano acha 'armazém de antiguidades' durante missão
imagem1.jpg.png
PDF falso (Fonte: Aryaka)

Quem é BatShadow

Não há ligações diretas do cibercriminoso BatShadow com qualquer grupo previamente registrado. Até o momento, as poucas informações encontradas indicam que o atacante é vietnamita — indicação encontrada via IP (103.124.95[.]161).

As principais empresas que são usadas em vagas de emprego falsa envolvem a Samsung e a rede hoteleira Marriott.

Como nasce o ataque

O clássico phishing é o vetor inicial: vagas de emprego falsas distribuídas na internet e redes sociais.

As mensagens falsas enviadas para as vítimas possuem um arquivo ZIP com PDF interno como disfarce: ele não passa de um link executável LNK — um atalho para baixar arquivos via Windows. 

Leia Mais
Malware Keenadu ataca celulares Android de brasileiros

Quando acionado pela vítima, o LNK roda um script PowerShell (realiza comandos, funções, variáveis, condições e outras instruções escritas na linguagem de script do PowerShell) que realiza o download de um programa relacionado ao XtraViewer, um software que faz conexões remotas. 

Isso é o acontece sob o capô. Com a ótica da vítima, ela apenas é levada para uma página preview do PDF falso que entrega uma mensagem de erro dentro do navegador. 

Neste ponto mora outro pulo do gato: o usuário é instruído a copiar e colar a URL dentro no navegador Edge, visto que o Google Chrome costuma bloquear o redirecionamento. Ao copiar, colar e apertar Enter, o download do malware completa seu ciclo.

Ao abrir o PDF diretamente no Edge logo de cara, outra mensagem de erro é exibida e, infelizmente para a vítima, um download automático é iniciado. 

Leia Mais
IPTV falso infecta vítimas e esvazia contas bancárias
imagem2.jpg.png
Processo de infecção (Fonte: Aryaka)

O que é o “vírus vampiro”?

Segundo os pesquisadores da Aryaka, o malware é baseado na linguagem Golang e foi batizado de ‘Vampire Bot’. Ele tem a capacidade de infectar o host, roubar informações, realizar capturas de tela (até em intervalos configuráveis pelo criminoso) e manter comunicação com o servidor infectado para executar comandos ou buscar cargas úteis.

A vigilância dos dados é realizada por um bot baseado em Go. Tudo que é recolhido acaba criptografado em AES e enviado para uma infraestrutura de comando e controle.

“O bot realiza monitoramento contínuo da área de trabalho, capturando capturas de tela em intervalos configurados pelo servidor C2”, explicam os pesquisadores. “Essas capturas de tela, armazenadas como imagens WEBP, são transmitidas por HTTPS, misturando-se ao tráfego regular da rede para evitar detecção. O malware também mantém um loop C2 persistente para receber instruções criptografadas, que podem incluir a execução de comandos ou o download e a execução de payloads adicionais. Importante ressaltar que o bot relata continuamente o status das tarefas ao servidor, permitindo que o BatShadow mantenha controle remoto abrangente sobre os sistemas comprometidos”.

O que tudo isso significa? Ao ser infectado, o cibercriminoso consegue praticamente acesso completo ao computador. Ou seja, desde acompanhar mensagens e emails, capturar documentos e arquivos armazenados, até roubar informações bancárias.

Leia Mais
ZeroDayRAT: spyware vendido no Telegram transforma qualquer um em espião
imagem3.jpg.png
Funções do malware (Fonte: Aryaka)

Como se proteger de malwares

O TecMundo recomenda os seguintes passos:

  • Utilize antivírus: mantenha um bom antivírus instalado no seu celular e computador (Avast, Kaspersky, ESET, MalwareBytes etc);
  • Atenção aos golpes direcionados: vazamentos do tipo são ouro para cibercriminosos especializados em spear phishing. É importante que você redobre a atenção para mensagens urgentes recebidas de serviços que você utilize. Confie na sensação de estranhamento em mensagens recebidas;
  • Atenção ao CPF: utilize o Registrato, do Banco Central, para acompanhar movimentações no seu CPF;
  • Proteja-se: tenha segundo fator de autenticação em todas as suas contas (se possível, com app terceiro, sem SMS);
  • Mantenha seus apps e sistema operacional com a última atualização disponível, principalmente navegadores como Chrome, Edge, Firefox etc;
  • Utilize novas senhas longas (mais de 12 caracteres) e complexas;
  • Altere suas senhas a cada seis meses e não repita entre serviços.

 Para sempre se manter atualizado com as últimas notícias de Cibersegurança, acompanhe o TecMundo nas redes sociais.

Perguntas Frequentes

O que é o “Vírus Vampiro” e como ele funciona?
O “Vírus Vampiro”, também chamado de Vampire Bot, é um malware desenvolvido em Golang (Go) que infecta computadores por meio de arquivos disfarçados, como PDFs falsos. Uma vez ativado, ele realiza vigilância contínua do sistema, captura telas em intervalos definidos, exfiltra dados confidenciais e mantém comunicação com um servidor de controle (C2). As informações são criptografadas em AES e enviadas via HTTPS, o que dificulta a detecção.
Como o ataque é iniciado e quais são os alvos principais?
O ataque começa com phishing: vagas de emprego falsas são divulgadas em redes sociais e emails. As vítimas recebem um arquivo ZIP contendo um suposto PDF, que na verdade é um atalho LNK. Ao ser executado, esse atalho roda um script PowerShell que baixa um programa relacionado ao XtraViewer. O golpe foca tanto em pessoas desempregadas quanto em recrutadores, explorando a confiança em processos seletivos.
Quem é o cibercriminoso BatShadow?
BatShadow é o nome atribuído ao autor da campanha maliciosa. Até o momento, não há ligação direta com grupos conhecidos, mas indícios apontam que ele seja vietnamita, com base em um endereço IP identificado (103.124.95[.]161). Ele utiliza engenharia social para enganar vítimas e distribuir o malware Vampire Bot.
Quais empresas são usadas como isca nas vagas falsas?
As campanhas de phishing utilizam nomes de empresas conhecidas para atrair vítimas. Entre as mais citadas estão a Samsung e a rede hoteleira Marriott, que são usadas como fachada em falsas ofertas de emprego.
Como o malware se disfarça para evitar detecção?
O Vampire Bot se mistura ao tráfego normal da internet ao transmitir dados criptografados via HTTPS. As capturas de tela são salvas como imagens WEBP e enviadas discretamente. Além disso, o malware mantém um loop persistente com o servidor C2, recebendo comandos e relatando o status das tarefas, o que permite controle remoto contínuo sem levantar suspeitas.
O Brasil está sendo diretamente afetado por esse ataque?
Embora o relatório técnico esteja em inglês e sugira que os Estados Unidos sejam o principal alvo, há indícios de golpes semelhantes ocorrendo no Brasil. Por isso, o alerta é relevante para brasileiros, especialmente diante do aumento de fraudes envolvendo falsas entrevistas de emprego.
O que é engenharia social e como ela é usada nesse golpe?
Engenharia social é uma técnica usada por cibercriminosos para manipular pessoas e levá-las a realizar ações que comprometem sua segurança. No caso do Vírus Vampiro, ela é usada para convencer vítimas a abrir arquivos maliciosos disfarçados de documentos legítimos relacionados a vagas de emprego.
Como posso me proteger contra esse tipo de malware?
Algumas medidas recomendadas incluem: manter antivírus atualizado, desconfiar de mensagens urgentes ou suspeitas, usar autenticação em dois fatores, atualizar sistemas e navegadores, monitorar o CPF com o Registrato do Banco Central, criar senhas longas e únicas, e trocá-las a cada seis meses.
Avatar do(a) autor(a): Felipe Payão
Felipe Payão

Felipe Payão é jornalista, editor-chefe do TecMundo e especialista em cibersegurança com foco em cibercrime há 11 anos. Payão possui três prêmios especializados: ESET Jornalismo Segurança da Informação América Latina, Comunique-se 2021 e Especialistas da Comunicação.

local_mall

Ofertas TecMundo

Atualizado há 25 minutos
Fone Bluetooth HUAWEI FreeClip 2
51% off

Compre já!

Fone Bluetooth HUAWEI FreeClip 2

R$ 643,00

Áudio amazon.com.brnew_releases
Controle DualSense, PS5
26% off

Imperdível!

Controle DualSense, PS5

R$ 369,00

Gamer amazon.com.brnew_releases
Kindle, 16GB
14% off

Aproveite já!

Kindle, 16GB

R$ 559,00

Tablets amazon.com.brnew_releases
Echo Spot
19% off

Imperdível!

Echo Spot

R$ 469,00

Casa Inteligente amazon.com.brnew_releases
Smartphone Samsung Galaxy S25+ 5G, 256GB
45% off

Cupom GANHOU100

Smartphone Samsung Galaxy S25+ 5G, 256GB

R$ 4.409,10

Celulares magazineluiza.com.brnew_releases
Smartphone POCO C85, 256GB
37% off

Cupom GANHOU50

Smartphone POCO C85, 256GB

R$ 994,76

Celulares magazineluiza.com.brnew_releases
local_mall

Guia de Compras TecMundo

As melhores promoções e cupons para sua próxima compra!

Confira todas as ofertas
star

Continue por aqui

Imagem de Estadão
Estadão
Imagem de Lançamentos
Lançamentos
Imagem de Gadgets
Gadgets
Imagem de Cibersegurança
Cibersegurança
Imagem de Filmes e séries
Filmes e séries
Imagem de Mercado
Mercado
Imagem de Cupons
Cupons
Imagem de Internet
Internet
Imagem de Games
Games
Imagem de Apostas
Apostas
Imagem de Ciência
Ciência
Imagem de Software
Software
Imagem de IA
IA