Nova campanha de ransomware e RAT possui diversos estágios e tem combate difícil

Pesquisadores do FortiGuard Labs, da empresa Fortinet, estudaram uma nova campanha de phishing que entrega ransomwares e o trojan de acesso remoto Amnesia RAT a usuários, principalmente na Rússia, com táticas avançadas de ação. Os golpistas usam iscas de engenharia social fingindo ser documentos de rotina benignos.

• O que é phishing e como se proteger?
• O que é uma vulnerabilidade de dia zero (Zero-Day)?

O que torna a ameaça avançada é seu uso de diversos serviços públicos de nuvem para entregar payloads maliciosos diferentes: o GitHub é explorado para a distribuição de scripts, enquanto o Dropbox entrega payloads binários. Isso dificulta os esforços de combate, já que diversas frentes têm de ser enfrentadas, e torna os malwares mais resilientes.

Exploração de ferramentas

O Canaltech está no WhatsApp!Entre no canal e acompanhe notícias e dicas de tecnologia

WhatsApp

Segundo a Fortinet, os hackers também abusam da ferramenta legítima defendnot para desabilitar o Microsoft Defender, antivírus padrão do Windows. O programa foi lançado em 2025, por um pesquisador de segurança de pseudônimo es3n1n, como uma ferramenta para fazer com que o Defender acredite ter outro antivírus já instalado na máquina.

Os cibercriminosos entregam arquivos comprimidos cheios de documentos falsos junto a um arquivo de atalho do Windows (LNK) malicioso, com nomes em russo. Uma extensão dupla, .txt.lnk, é usada para dar a impressão de ser um arquivo de texto. Quando executado, o arquivo roda um comando PowerShell para baixar o malware do GitHub. Uma vez na máquina, ele se estabelece e prepara o sistema para esconder a atividade maliciosa.

A janela do PowerShell é escondida e um documento de texto abre para o usuário, disfarçando a atividade. Então, o script comunica os cibercriminosos através de uma API de bot do Telegram, que então roda outro script em Visual Basic. A próxima fase roda na memória, evitando que sinais do ataque fiquem no computador. O programa verifica se está rodando com privilégios de administrador, e, caso não, pede que o usuário dê as permissões necessárias.

Finalmente funcionando, o Amnesia RAT rouba informações guardadas pelos navegadores, carteiras de criptomoeda, dados do Discord, Telegram e Steam, metadados do sistema, capturas de tela, imagens da webcam, áudio do microfone, área de transferência e telas ativas.

Tudo é enviado através do Telegram ou serviços de hospedagem de arquivos, como GoFile. Também é entregue o ransomware Hakuna Matata, que encripta documentos, fecha programas e pede resgate.

Segundo os pesquisadores, o ataque demonstra como os malwares modernos sequer exploram vulnerabilidades de software: tudo é feito através do abuso de características nativas do Windows, no que se chama “living-off-the-land”.

Para evitar que hackers se aproveitem do sistema, é recomendado ativar a Proteção Contra Adulteração (Tamper Protection) do Windows Defender e ficar atento a chamadas de API suspeitas e mudanças no aplicativo de segurança nativo.

Leia também:

• Hackers invadem aplicativos inativos do Linux para roubar criptomoedas
• Hackers norte-coreanos espalham backdoor em PowerShell gerado por IA
• Kits de vishing customizados já imitam sites e logins em tempo real

VÍDEO | Como se proteger do ataque ransomware WannaCrypt

Fonte: Fortinet