Um malware especializado em roubo de senhas e criptomoedas vem ganhando força em 2026. De acordo com a CyberProof, o PXA Stealer registrou um aumento de até 10% nos ataques direcionados a instituições financeiras apenas no primeiro trimestre do ano.
Esse tipo de ameaça, conhecido como infostealer, é projetado para coletar dados sensíveis de forma silenciosa, como credenciais de acesso, informações bancárias e chaves de carteiras de criptomoedas. O PXA Stealer ganhou destaque após operações policiais derrubarem ferramentas populares como RedLine e Lumma em 2025. Com esse vácuo no mercado do cibercrime, grupos maliciosos migraram rapidamente para novas alternativas — e o PXA se tornou uma das principais.
A infecção geralmente começa com um e-mail de phishing que imita comunicações legítimas, como documentos fiscais, contratos jurídicos ou até instaladores de softwares conhecidos. Um exemplo recorrente é o arquivo “Pumaproject.zip”, que, ao ser aberto, ativa toda a cadeia maliciosa.
O funcionamento do malware é baseado em camadas para evitar detecção. Ele cria uma pasta oculta no sistema, utiliza senha para liberar seus componentes mais perigosos e ainda se disfarça ao renomear arquivos como “svchost.exe”, simulando processos legítimos do Windows. Isso permite que ele opere sem levantar suspeitas, mesmo com o sistema aparentemente funcionando normalmente.
Para garantir persistência, o PXA altera o registro do Windows, configurando-se para iniciar automaticamente sempre que o computador é ligado. Assim, mesmo após reinicializações, o malware continua ativo.
Uma vez instalado, o foco é claro: roubar dados financeiros. O PXA coleta senhas armazenadas em navegadores, acessos a plataformas financeiras e, principalmente, chaves privadas de carteiras de criptomoedas — o que permite aos atacantes movimentar fundos sem precisar de autenticação adicional.
Os dados roubados são organizados internamente e enviados aos criminosos por meio do Telegram, que vem sendo cada vez mais utilizado como canal de comando e controle (C2), facilitando a comunicação e dificultando o rastreamento.
Para se proteger, especialistas recomendam atenção redobrada com e-mails suspeitos, especialmente aqueles com anexos compactados como .zip ou .rar e tom de urgência. Também é importante monitorar conexões incomuns para domínios pouco confiáveis e ficar atento ao surgimento inesperado de arquivos de script, como .vbs ou .js, que não são comuns no uso cotidiano.
No cenário atual, onde infostealers estão evoluindo rapidamente, o maior risco não está apenas na sofisticação do malware, mas na facilidade com que ele consegue enganar usuários desatentos.
