{
	"id": "f224371e-6e56-4581-b50a-2cd1fcfc14af",
	"created_at": "2026-04-06T00:15:14.415012Z",
	"updated_at": "2026-04-10T03:21:43.574992Z",
	"deleted_at": null,
	"sha1_hash": "6c8576ff6359e90d02e59456756490e9986ef9b2",
	"title": "Zumanek: novo malware tenta roubar credenciais de serviços das vítimas",
	"llm_title": "",
	"authors": "",
	"file_creation_date": "0001-01-01T00:00:00Z",
	"file_modification_date": "0001-01-01T00:00:00Z",
	"file_size": 1318708,
	"plain_text": "Zumanek: novo malware tenta roubar credenciais de serviços das\r\nvítimas\r\nBy Cassius Puodzius\r\nArchived: 2026-04-05 18:19:07 UTC\r\nHá cerca de três meses detectamos uma nova família de banker com foco no Brasil: Zumanek.\r\nA história da escolha do nome desta família é um tanto quanto peculiar. Na verdade, é uma homenagem ao nosso\r\ncolega Jakub Tomanek, da República Tcheca,  que teve um acidente enquanto andava de bicicleta e quebrou um de\r\nseus dentes (\"Zub\" em tcheco).\r\nApós esse acidente, exatamente no dia em que Jakub voltou a trabalhar, essa família de banker foi detectada. Essa\r\nrelação entre os dois fatos, foi a fonte de inspiração do nome Zumanek (Zub + Tomanek =\u003e Zumanek), de modo\r\nque Jakub até hoje guarda o dente quebrado em sua carteira.\r\nApesar do nome tcheco, a ameaça é detectada (quase que) exclusivamente no Brasil. Seu nível de detecção\r\nainda não a coloca dentre do top 10 de spywares/bankers mais detectados no país, mas essa família dá mostras dos\r\nplanos futuros do cibercrime brasileiro que está enfocado em bancos e criptomoeadas.\r\nNeste post, vamos analisar uma amostra dessa família (versão 3.0) a fim de entender seu funcionamento, verificar\r\nas precauções tomadas por seus desenvolvedores para evitar a detecção e entender quais medidas podem ser\r\ntomadas para estar protegido.\r\nhttps://www.welivesecurity.com/br/2018/01/17/zumanek-malware-tenta-roubar-credenciais-de-servicos/\r\nPage 1 of 19\n\nZumanek: Downloader\r\nAssim como a grande maioria dos malwares em atividade, sua cadeia de ataque é subdividida em diferentes\r\nestágios. O objetivo disso é fazer com que seja possível manter estágios do ataque desconhecidos o máximo\r\npossível, evitando efetuá-los em máquinas que não cumprem algum perfil desejado.\r\nPara chegar às vítimas, os cibercriminosos se valem da Engenharia Social a fim de convencer a vítima a baixar e\r\nexecutar esse primeiro estágio de infecção.\r\nNo primeiro estágio do Zumanek (i.e.: downloader), o intuito é fazer uma triagem inicial da máquina onde está\r\nsendo executado, realizar o download do payload final e, por fim, executá-lo na máquina comprometida.\r\nA fim de proteger o downloader (e como veremos, também o banker final), os desenvolvedores do Zumanek, nas\r\nversões analisadas, utilizam o packer PECompact.\r\nPara a análise estática e dinâmica dessa amostra, é necessário desempacotá-la. Na versão utilizada, esse\r\nprocedimento pode ser realizado até mesmo manualmente.\r\nApesar da preocupação para dificultar a engenharia reversa de seu malware, a mesma precaução não parece ter\r\nsido tomada na indicação do timestamp de compilação, que data de 28 de dezembro de 2017, mesmo período das\r\nprimeiras detecções desta amostra, que não parece ter sido alterada.\r\nFigura 1: Timestamp de compilação conforme indicado no header PE (provavelmente não alterado)\r\nUm dos motivos que explicam o porquê das detecções serem (quase que) exclusivamente brasileiras, está no fato\r\ndo downloader verificar a língua do sistema escolhida pelo usuário.\r\nhttps://www.welivesecurity.com/br/2018/01/17/zumanek-malware-tenta-roubar-credenciais-de-servicos/\r\nPage 2 of 19\n\nFigura 2: Obtenção da linguagem do sistema durante execução do\r\nO retorno da chamada para GetSystemDefaultUILanguafe é tratada e verifica-se se corresponde a 'pt-br'.\r\nhttps://www.welivesecurity.com/br/2018/01/17/zumanek-malware-tenta-roubar-credenciais-de-servicos/\r\nPage 3 of 19\n\nFigura 3: Verificação da línguagem do sistema (patch do JMP em tempo de execução)\r\nAlém disso, antes de tentar fazer o download de qualquer arquivo, o Downloader verifica a presença de diferentes\r\nantivírus. Caso algum deles seja detectado, o processo é imediatamente encerrado.\r\nFigura 4: Verificação do módulo sf2.DLL no processo para detecção do AVAST\r\nListagem completa de AVs/proteções verificados:\r\nsf2.dll (AVAST)\r\nsnxhk.dll (AVAST)\r\ncmdvrt32.dll (COMODO)\r\nSxIn.dll (360 Total Security)\r\nSbieDll.dll (Sandboxie)\r\nA malware prossegue com o download do payload final (i.e.: banker) e sua execução na máquina da vítima.\r\nhttps://www.welivesecurity.com/br/2018/01/17/zumanek-malware-tenta-roubar-credenciais-de-servicos/\r\nPage 4 of 19\n\nFigura 5: Execução de urlmon.URLDownloadToFileW para download do payload final\r\nNota-se que logo antes da execução de urlmon.URLDownloadToFileW, há strings hexadecimais sendo passadas\r\ncomo argumento da chamada em 006B16E0 (posição da memória virtual que pode mudar dependendo de onde o\r\nmódulo for carregado). É importante perceber que o Delphi segue a convenção de registradores Borland fastcall,\r\nque em x86 passa parâmetros através de EAX, EDX, ECX e, somente depois, através da pilha.\r\nhttps://www.welivesecurity.com/br/2018/01/17/zumanek-malware-tenta-roubar-credenciais-de-servicos/\r\nPage 5 of 19\n\nFigura 6: Strings encriptadas na função de download\r\nComo haveria de se esperar, essas strings estão encriptadas e guardam as informações necessárias tanto para a\r\nexecução da chamada, quanto para obter as informações necessárias para o download do payload final que está\r\nhospedado no C\u0026C.\r\nhttps://www.welivesecurity.com/br/2018/01/17/zumanek-malware-tenta-roubar-credenciais-de-servicos/\r\nPage 6 of 19\n\nFigura 7: Chamada de urlmon.URLDownloadToFileW resolvida em tempo de execução (call [ebp+var_8])\r\nO algoritmo de decriptação tem como entrada a string encriptada e outra string (unicode) que atua como uma\r\nchave (e varia de amostra para amostra). Byte a byte, o algoritmo vai obtendo o valor da string decriptada sempre\r\nfazendo uso do valor do último byte decriptado para o cálculo do próximo byte.\r\nO método de decriptação das strings não segue nenhum padrão seguro de criptografia (e.g.: AES) e foi\r\nimplementado exclusivamente para dificultar a análise estática do código. No entanto, é interessante notar que\r\numa vez entendido como esse algoritmo funciona, é possível escrever um script para a obtenção das strings\r\nencriptadas não apenas dessa amostra, mas de outras da família Zumanek.\r\nhttps://www.welivesecurity.com/br/2018/01/17/zumanek-malware-tenta-roubar-credenciais-de-servicos/\r\nPage 7 of 19\n\nstatic_str =\r\n\"FIUxRfaxgEaXaIkLgaonACAZhAbnQOylEhHOqXYETApwxrpkqWuWRybnbglopKPSzdBl\" #\r\nExemplo\r\nenc_strs = [\"F67E8782BE52C063\"] # Exemplo\r\ndef decrypt_str(enc_str):\r\nprev_byte = int(enc_str[:2], 16)\r\ndec_str = \"\"\r\ni = 2\r\nwhile i \u003c len(enc_str): current_byte = int(enc_str[i:i+2], 16) static_char = static_str[i/2 - 1] dec_char =\r\ncurrent_byte ^ ord(static_char) if dec_char \u003e= prev_byte:\r\ndec_char -= prev_byte\r\nelse:\r\ndec_char += 0xFF - prev_byte\r\ndec_str += chr(dec_char)\r\nprev_byte = current_byte\r\ni += 2\r\nreturn dec_str\r\nAo final de todos os downloads e da descompressão dos arquivos (já que o payload vem em forma de ZIP), é\r\nverificado se os arquivos foram baixados e modificados corretamente.\r\nFigura 8: Fluxo de execução do downloader\r\nSe a verificação for positiva, o payload final é executado, caso contrário os arquivos são escondidos\r\n(FILE_ATTRIBUTE_HIDDEN) e o sistema é reiniciado.\r\nhttps://www.welivesecurity.com/br/2018/01/17/zumanek-malware-tenta-roubar-credenciais-de-servicos/\r\nPage 8 of 19\n\nFigura 9: Atribuição de FILE_ATTRIBUTE_HIDDEN aos arquivos baixados\r\nZumanek: Banker\r\nO segundo estágio trata-se de um banker/RAT, cuja finalidade é prover ao atacante o controle remoto à máquina\r\nda vítima, enfocando no roubo de credencias de acesso a serviços online banking e a casas de câmbio de\r\ncriptomoeda.\r\nA cadeia de ataque é realizado de maneira muito simples: o downloader se encarrega de baixar um ZIP contendo\r\ndois arquivos, um executável legítimo (e assinado) e uma DLL maliciosa que é carregada pelo executável,\r\nexecutando, na sequência, o arquivo legítimo.\r\nFigura 10: Arquivos (comprimidos) baixados pelo downloader\r\nSemelhantemente à proteção do downloader, o payload final (i.e.: drive0, uma DLL maliciosa) também utiliza o\r\npacker PECompact.\r\nhttps://www.welivesecurity.com/br/2018/01/17/zumanek-malware-tenta-roubar-credenciais-de-servicos/\r\nPage 9 of 19\n\nFigura 11: DLL maliciosa (drive0) protegida com PeCompact(2.20)\r\nO outro arquivo (drive1) é uma cópia legítima (e assinada) do GbpSv.EXE. Esse arquivo é baixado junto à DLL\r\nmaliciosa, que é renomeada para fltLib.DLL pelo downloader. Quando, então, o GbpSv.EXE é executado, ao\r\ninvés da DLL legítima ser carregada, devido à ordem de busca de DLLs no sistema, a fltLib.DLL (maliciosa) será\r\ncarregada e executada no lugar (i.e.: DLL Hijacking).\r\nFigura 12: Informações do executável drive1 segundo o SigCheck\r\nO procedimento de encriptação de strings é idêntico ao empregado no downloader (modificando-se somente a\r\nstring unicode que funciona como chave). Com isso, de maneira estática, é possível entender a finalidade deste\r\nmalwarecom base no conteúdo de algumas strings.\r\nString encriptada Conteúdo (i.e.: alvos)\r\n0018010C101B38C040 BANRISUL\r\n07001117283521 SICOOB\r\n19011B1D222D39C6 BBCOMBR\r\n223FD066E166F10D15 CITIBANK\r\nhttps://www.welivesecurity.com/br/2018/01/17/zumanek-malware-tenta-roubar-credenciais-de-servicos/\r\nPage 10 of 19\n\nString encriptada Conteúdo (i.e.: alvos)\r\n342C35C048D978F009 BANESTES\r\n47D37EFC0F12 BRADA (i.e.: BRADESCO)\r\n4DD54FDE6CF91F3CC823589EEA00 BANCOORIGINAL\r\n5BC74CD852DF75F07FFB7E BLOCKCHAIN\r\n68E17B8A9093 SANTA (i.e.: SANTANDER)\r\n75ED7786989BBB BANPAR\r\n94BD5FE17AFD1410 SICREDI\r\n9B87889FACB751D2 BITCION\r\nB2A1ADAD ITA (i.e.: ITAU)\r\nB3A3AA40CC54FE FOXBIT\r\nB656FC05061A0900 UNICRED\r\nB958F375F6 HSBC\r\nBB53C050DD5DF70A0179F9057BFD75 MERCADOBITCION\r\nD543DC65F377 CAIXA\r\nFB64FD0F1C292D3FC0364BA0D02845DD BANCORENDIMENTO\r\nEm sua execução, o módulo ftlLib.DLL altera a chave de registro Software\\Microsoft\\CurrentVersion\\Run para\r\nexecutar o binário (legítimo) sempre que o sistema é inicializado. Além disso, o módulo cria um novo processo de\r\nnotepad.EXE e injeta-se na memória do mesmo.\r\nhttps://www.welivesecurity.com/br/2018/01/17/zumanek-malware-tenta-roubar-credenciais-de-servicos/\r\nPage 11 of 19\n\nFigura 13: Injeção de fltLib.DLL em notepad.EXE\r\nDessa forma, o processo do notepad.EXE carrega também a fltLib.DLL na memória. As ações maliciosas são\r\nrealizadas apenas quando a ftlLib.DLL está sendo executada em notepad.EXE.\r\nFigura 14: ftlLib.DLL injetado no processo notepad.EXE executando a função (exportada)\r\nFilterConnectCommunicationPort.\r\nO payload redireciona os acessos web das páginas alvo realizados no firefox.EXE ou chrome.EXE para ser\r\nexecutado via Internet Explorer, injetando formulários (form grabbing) para roubar as senhas de acesso das\r\nvítimas e enviá-las ao C\u0026C.\r\nhttps://www.welivesecurity.com/br/2018/01/17/zumanek-malware-tenta-roubar-credenciais-de-servicos/\r\nPage 12 of 19\n\nFigura 15: Criação de formulário falso para o roubo de credencial (form grabbing)\r\nA comunicação inicial com o C\u0026C dá-se através de requisições HTTP POST, com os seguintes parâmetros:\r\nUser agent: NULL\r\nHeaders: Content-Type:application/x-www-form-urlencoded\r\nPOST: “op={8 chars aleatorios}+{BASE64 de dados encriptados}”\r\nDados enviados via POST:\r\n%VERSION% - versão do banker\r\n%BANKPROTECTIONSW% - proteções instaladas (valores possíveis: [\"SCAPD\" | \"WARSAW\" | \"GB\" ])\r\n%COMPUTERID% - {Nome do Computador}+{Número Serial do Volume}\r\n%OSVERSION% - OS version: [\"Desconhecido \" | \"Windows XP \" | \"Vista \" | \"Windows 7 \" | \"Windows 8\r\n\" | \"Windows 10 \"] + [\" Intel\" | \" Intel Itanium-based X64\" | \" Arquitetura desconhecida\" | \" x64 (AMD ou\r\nIntel)\"] + [\" 64Bits\" | \" 32Bits\"]\r\n%AVs% - Antivírus instalados\r\n%DATETIME% - data e hora\r\nExemplo: [4.5.0]#[SCAPD]#[MAQUINA]#[Windows 7 Intel 64Bits]#[]#[01/10/2018 4:07:00 PM]#\r\nhttps://www.welivesecurity.com/br/2018/01/17/zumanek-malware-tenta-roubar-credenciais-de-servicos/\r\nPage 13 of 19\n\nFigura 16: Obtenção do AV instalado na máquina fornecido pelo WMI provider SecurityCenter2\r\nAlém da comunicação via HTTP POST, três sockets são criados: Comando, Foto e Texto. As portas e os endereços\r\naos quais os sockets se conectam estão hardcoded de forma encriptada no código do banker.\r\nQuando os sockets estabelecem com sucesso uma conexão com o C\u0026C, uma mensagem inicial é enviada:\r\nSocket FOTO: \"SOQUETEFOTOS;VAZIO;VAZIO;VAZIO;VAZIO\"\r\nSockets COMANDO e TEXTO:\r\n\"SOQUETETEXTOS;%COMPUTERID%;%OSVERSION%;%BROWSER%;%VERSION%;%BANK%;\"\r\nOs valores de %COMPUTERID%, %OSVERSION% e %VERSION% são iguais aos enviados via HTTP POST.\r\nOs valores possíveis para %BANK% seguem a lista da tabela acima, enquanto %BROWSER% pode assumir os\r\nvalores [\"Explorer\" | \"Firefox\" | \"Chrome\" | \"Opera\" | \"Microsoft Edge\" | \"Avast SafeZone\" | \"UC Browser\" |\r\n\"App Brada\"].\r\nAtravés do socket Comando, o operador do Zumanek pode enviar diversos comandos à máquina da vítima. A lista\r\nautoexplicativa de comandos está apresentada na tabela abaixo:\r\nhttps://www.welivesecurity.com/br/2018/01/17/zumanek-malware-tenta-roubar-credenciais-de-servicos/\r\nPage 14 of 19\n\nLISTARMODULOS\r\nATUALIZARMODULO\r\nENIVARDUPLOCLIQUE\r\nENIVARCLIQUE\r\nENIVARCLIQUEINVERSO\r\nENIVARMOUSEMOVE\r\nENIVARTEXTO\r\nENIVARTECLAS\r\nCOLARDATA\r\nMUDARQUALIDADEBMP\r\nTIPOFOTO\r\nTIPOPRINT\r\nENVIARMESSAGEBOX\r\nABRIRCHROMEABRIRCHROME\r\nABRIRFIREFOX\r\nABRIRIEXPLORER\r\nMAXIMIZARBROWSER\r\nMINIMIZARBROWSER\r\nENIVARCLIQUEARRASTA0\r\nENIVARCLIQUEARRASTA1\r\nENIVARNOMECLIENTE\r\nENIVARAJUSTEXY\r\nENVIARMOVIMENTOMOUSE1\r\nENVIARMOVIMENTOMOUSE0\r\nENVIARAUTOGETHANDLES0\r\nENVIARAUTOGETHANDLES1\r\nLISTARHANDLES\r\nLISTARDESKTOPS\r\nSETARHANDLEALVO\r\nDETALHESJANELAFILHA\r\nENVIARINTERVALOMOVEMOUSE\r\nCRIARDESKTOP\r\nREINICIARPC\r\nRESTARTKL\r\nBLOQUEARKL\r\nDELETARKL\r\nFECHARKL\r\nRESETARKL\r\nEXECUTARPCHUNTER\r\nFECHARINFO\r\nOCULTARBARRATAREFAS\r\nMOSTRARBARRATAREFAS\r\nhttps://www.welivesecurity.com/br/2018/01/17/zumanek-malware-tenta-roubar-credenciais-de-servicos/\r\nPage 15 of 19\n\nFECHARBROWSERS\r\nFINALIZARINFO\r\nRECONECTARREMOTO\r\nAJUSTARBROWSER\r\nENVIARCONECTAPHOTO\r\nENVIARDESCONECTAPHOTO\r\nMATAHOOK\r\nATIVAKEYLOG\r\nDESATIVAKEYLOG\r\nRECEBERDADOSKEY\r\nDESATIVARAERO\r\nATIVAAERO\r\nDESATIVATRUSTEER\r\nDETONARPC\r\nLIBERAATUALIZA\r\nXYRECORTE\r\nFECHABURACO\r\nATUALIZEMAIL\r\nTRAVAUPD\r\nTRAVAGENERICA\r\nATUALIZABB\r\nATUALIZACEF\r\nATUALIZASANTA\r\nATUALIZAITA\r\nATUALIZABRADA\r\nATUALIZASICREDI\r\nATUALIZAUNICRED\r\nATUALIZASICOOB\r\nATUALIZABANRISUL\r\nCANCELATELA\r\nBANRISULSENHA\r\nBBFISICASENHA8\r\nBBFISICASENHACONTA\r\nBBGFSENHACONTA\r\nBBGFSENHACERTIFICADO\r\nBRADAPOSICAOTABELA\r\nBRADACHAVE\r\nBRADATOKEN\r\nCEFASSINATURA\r\nITAFISICASENHA\r\nITATABELA\r\nITAFISICATOKEN\r\nhttps://www.welivesecurity.com/br/2018/01/17/zumanek-malware-tenta-roubar-credenciais-de-servicos/\r\nPage 16 of 19\n\nITADATANASCIMENTO\r\nITAFISICASMSTOKENITAFISICASMSTOKEN\r\nSANTATABELA\r\nSANTAASSTOKEN\r\nSANTASMSTOKEN\r\nSANTAASSINATURA\r\nSANTASOTOKEN\r\nSANTATOKEN\r\nSICOOBASSINATURA\r\nSICOOBSENHA4\r\nSICOOBSENHA6\r\nSICOOBTOKEN\r\nSICREDIASSINATURA\r\nSICREDITOKEN\r\nUNICREDITOKEN\r\nUNICREDASSINATURA\r\nBLOQUEARSICREDI\r\nBLOQUEARBB\r\nBLOQUEARITA\r\nBLOQUEARCEF\r\nBLOQUEARBRADA\r\nBLOQUEARSANTA\r\nBLOQUEARHSBC\r\nBLOQUEARBANRISUL\r\nBLOQUEARBANESTES\r\nBLOQUEARUNICRED\r\nBLOQUEARSICOOB\r\nBLOQUEARCITIBANK\r\nAtravés do socket Foto, o operador pode visualizar a tela da vítima a partir dos dados enviados:\r\nComando Ação\r\nPRIMEIRAFOTO\r\nTira screenshot da máquina da vítima e envia o tamanho da screenshot comprimida\r\n(zlib)\r\nSEGUNDAFOTO Cria diff da screenshot atual com a anterior e envia tamanho do diff\r\nMANDASTREAM Envia screenshot comprimida e diff\r\nDessa forma, percebemos que a família de malware Zumanek trata-se de um RAT com características de\r\nBanker, enfocado no mercado financeiro nacional: seja tradicional (ou seja, Bancos) ou seja no novo mercado das\r\ncriptomoedas.\r\nhttps://www.welivesecurity.com/br/2018/01/17/zumanek-malware-tenta-roubar-credenciais-de-servicos/\r\nPage 17 of 19\n\nInteressantemente, o C\u0026C não fica ativo a todo o tempo, o que sugere que o Zumanek segue a arquitetura clássica\r\nde “Cliente-Servidor”, onde o servidor é a máquina da vítima e o cliente é a aplicação do operador. Nesse caso, é\r\nbastante possível que o malware seja desenvolvido e comercializado por pessoas diferentes das quais operam os\r\nataques.\r\nEm especial, essa família emprega técnicas que vemos extensivamente utilizadas no Brasil, mas aponta também\r\npara o enfoque que o cibercrime vem tomando em torno das criptomoeadas.\r\nDLL Hijacking\r\nAo longo do ano passado, vimos uma enorme quantidade de bankers no Brasil utilizando DLL Hijacking para\r\nexecutar suas ações maliciosas. Notariamente, essa é a técnica utilizada pelo Client Maximus para se executar na\r\nmáquina das vítimas.\r\nO ataque funciona devido ao fato de que sempre que uma DLL é carregada através de LoadLibrary ou\r\nLoadLibraryEx, o sistema busca pela DLL desejada em uma certa ordem:\r\n1. Diretório onde a aplicação foi carregada\r\n2. Diretório System\r\n3. Diretório System (16 bits)\r\n4. Diretório Windows\r\n5. Diretório de trabalho (CWD)\r\n6. Diretórios listados em PATH\r\nComo o Downloader se encarrega de colocar o executável (legítimo) e a DLL no mesmo diretório, quando a\r\naplicação é carregada, a DLL terá a maior prioridade na ordem de carregamento.\r\nEsse ataque, no entanto, pode ser mitigado tanto pelos lado dos desenvolvedores quanto dos usuários.\r\nComo estar seguro?\r\nA Microsoft possui algumas recomendações que podem ser seguidas pelos desenvolvedores a fim de evitar, ou ao\r\nmenos dificultar, terem suas aplicações exploradas nesse tipo de ataque (que pode acabar tendo algum tipo de\r\nimpacto para a imagem da marca). Alguns exemplos simples de implementação (veja este artigo para outras\r\nrecomendações):\r\nValidação das DLLs carregadas. Exemplos:\r\nUso de SearchPath para identificar o caminho da DLL\r\nUso de LoadLibrary para identificar a versão do sistema operacional\r\nUso de caminhos absolutos para as chamadas LoadLibrary, CreateProcess e ShellExecute\r\nEm especial, aplicações assinadas digitalmente deveriam buscar carregar apenas a DLL que também fosse\r\nassinada digitalmente. O fato de um executável digitalmente assinado poder carregar uma DLL sem assinatura\r\nabre brecha para que códigos maliciosos sejam executados em contextos “autenticados”.\r\nhttps://www.welivesecurity.com/br/2018/01/17/zumanek-malware-tenta-roubar-credenciais-de-servicos/\r\nPage 18 of 19\n\nPara os usuários, é possível controlar a ordem de busca de DLLs através do registro CWDIllegalInDllSearch. Já\r\npara as versões de Windows a partir do Windows Server 2012 (servidores) e Windows 8.1 (PCs), esse registro já\r\nestá disponível sem necessidade da instalação do KB2264107.\r\nFigura 17: Chave de registro CWDIllegalInDllSearch com valor 0xFFFFFFFF remove o diretório local de\r\ntrabalho (CWD) da busca de DLL\r\nComo vimos, o cibercrime brasileiro é bastante inovador e ativo. Portanto, é sempre importante estar atento,\r\nprincipalmente quando utilizamos as facilidades trazidas pelo online banking e, agora, pelas criptomoedas.\r\nSource: https://www.welivesecurity.com/br/2018/01/17/zumanek-malware-tenta-roubar-credenciais-de-servicos/\r\nhttps://www.welivesecurity.com/br/2018/01/17/zumanek-malware-tenta-roubar-credenciais-de-servicos/\r\nPage 19 of 19",
	"extraction_quality": 1,
	"language": "ES",
	"sources": [
		"Malpedia"
	],
	"references": [
		"https://www.welivesecurity.com/br/2018/01/17/zumanek-malware-tenta-roubar-credenciais-de-servicos/"
	],
	"report_names": [
		"zumanek-malware-tenta-roubar-credenciais-de-servicos"
	],
	"threat_actors": [],
	"ts_created_at": 1775434514,
	"ts_updated_at": 1775791303,
	"ts_creation_date": 0,
	"ts_modification_date": 0,
	"files": {
		"pdf": "https://archive.orkl.eu/6c8576ff6359e90d02e59456756490e9986ef9b2.pdf",
		"text": "https://archive.orkl.eu/6c8576ff6359e90d02e59456756490e9986ef9b2.txt",
		"img": "https://archive.orkl.eu/6c8576ff6359e90d02e59456756490e9986ef9b2.jpg"
	}
}