Como novos malwares usam matemática e o seu mouse para espionar em silêncio
Por Lillian Sibila Dala Costa • Editado por Jones Oliveira |
Barulhento, agressivo e óbvio, o ransomware foi o tipo de malware que mais tirou o sono dos usuários por muitos anos: roubando ou encriptando arquivos e pedindo resgate em bitcoins, esse tipo de golpe caiu em 38%, segundo o relatório The Red Report 2026. As novas ameaças são parasitas que se infiltram no PC e ganham acesso persistente, completamente furtivo.
O objetivo dos novos vírus é “morar” no computador, ler os e-mails, roubar os cookies de sessão, usar o processamento da máquina para minerar bitcoins ou alimentar chatbots fraudulentos (LLMjacking) e muito mais, tudo no mais absoluto silêncio. Mas como eles fazem isso? Para explicar, vamos ter que mergulhar no funcionamento dos antivírus modernos.
Teste de Turing reverso
Os antivírus comuns usam o que chamamos de sandbox, uma “caixa de areia” que nada mais é do que uma máquina virtual, um computador falso onde qualquer arquivo suspeito é colocado para ter o comportamento monitorado. Caso aja maliciosamente, sabemos que é um malware, que o antivírus logo trata de excluir.
Para contornar o problema, os hackers fazem com que o malware seja capaz de detectar o ambiente: “estou em um PC de verdade, controlado por um humano, ou numa armadilha de antivírus?”.
Para isso, o arquivo malicioso fica dormente, observando o comportamento dos periféricos. Se não for detectado comportamento humano genuíno — um “teste de Turing reverso”, o vírus não é ativado, enganando as defesas e posando como um arquivo inofensivo.
Trigonometria aplicada ao mouse
Malwares como o LummaC2 não apenas vêem onde o mouse está, mas calculam os vetores e ângulos da movimentação do cursor. Em sandboxes, ele pula do ponto A ao ponto B instantaneamente ou em linhas retas perfeitas, enquanto um humano faz movimentos em arco, curvas suaves, acelerações e desacelerações constantes.
Com funções trigonométricas, o malware consegue analisar os arcos com precisão de milissegundos: se a matemática disser que o movimento é robótico, o agente se autodestrói ou permanece inerte. Outra tática é o keylogging dinâmico, que nota se a senha em um campo é colada instantaneamente ou digitada em um ritmo considerado humano.
Camuflagem de tráfego
Outro desafio dos malwares é o envio dos dados roubados sem que o firewall detecte a movimentação. Para isso, são usados domínios legítimos e confiáveis como os da OpenAI e Amazon Web Services (AWS).
O administrador da rede vê o tráfego saindo e acredita que o usuário está apenas usando o ChatGPT, mas, na verdade, é um vírus extraindo gigabytes de dados privados ou corporativos por uma porta que ninguém ousa fechar.
Os antivírus tradicionais estão perdendo essa guerra, mas há esperança: alguns aplicativos de proteção, como os EDR e XDR, são comportamentais, ou seja, usam de um raciocínio tão poderoso quanto o dos vírus para procurar por anomalias sutis, como uso excessivo de processador quando deveria estar ocioso e outros sinais indiretos da atuação maliciosa.
Se escanear arquivos conhecidos não funciona, é preciso ir além na corrida armamentista dos malwares.