Nem sem internet salva: novo ransomware sequestra PC via atalhos offline

Especialistas da Forcepoint X-Labs detectaram uma campanha de phishing que distribui ataques de ransomware sem a necessidade de conexão com a internet.

• Bug em ransomware faz grupo perder chaves e destrói dados hackeados para sempre
• O stalker foi stalkeado: vazamento expõe dados de quem usava apps espiões

A investigação aponta que a campanha usa atalhos do Windows com arquivos criptografados, que são enviados por e-mail para as vítimas. O modus operandi é descrito como “silencioso” pelo fato de os criminosos não precisarem estar online para burlar os sistemas de segurança do dispositivo visado.

O caso preocupa pelo alcance global do ciberataque, que visa o sequestro de computadores para roubar dados pessoais de usuários, e pelo envolvimento do ransomware Global Group, uma operação de Ransomware como Serviço (RaaS) que está na ativa desde 2025.

O Canaltech está no WhatsApp!Entre no canal e acompanhe notícias e dicas de tecnologia

WhatsApp

Por trás da campanha

Usando táticas simples de phishing, a campanha conta com o envio de um e-mail cujo assunto aparece como “Seu Documento”. Assim que a pessoa abre a mensagem, ela se depara com um anexo com uma pasta compactada que é intitulada “Document.doc.lnk”.

Para um usuário comum, o arquivo parece bastante legítimo, mas os pesquisadores descobriram que esse documento é, na verdade, um atalho do Windows que, ao ser clicado, instrui o sistema a executar comandos em segundo plano sem precisar de arquivos maliciosos.

Dessa forma, os hackers conseguem usar as próprias ferramentas do dispositivo para iniciar o ataque, corrompendo programas legítimos, como o PowerShell e o Prompt de Comando, para concretizar a infecção. É assim que o malware entra no sistema, escondendo-se em pastas para evitar ser detectado.

Sem internet

O mais surpreendente da campanha é a possibilidade de desencadear uma série de processos maliciosos de maneira offline. Silencioso como um ninja, o Global Group realiza as ações de maneira local, gerando uma chave de criptografia própria na máquina contaminada.

Além disso, o malware consegue bloquear arquivos mesmo sem estar conectado a um servidor, dificultando a recuperação de documentos pela vítima. Também há um temporizador de cerca de três segundos que, uma vez encerrado, faz o software malicioso apagar os próprios arquivos do disco rígido, dificultando a detecção.

Leia também:

• Hackers usam QR Code para espionar conversas de políticos e militares
• Um bilhão de celulares ficaram vulneráveis após atualização do Android 16
• ShinyHunters invade sistemas das universidades de Harvard e da Pensilvânia

Fonte: Hack Read