Vírus retrô? Hackers usam proteção de tela do Windows para aplicar golpes

Um novo tipo de spear-phishing envolve usar arquivos de Proteção de Tela do Windows (.scr, sigla de “screensaver”) para ultrapassar barreiras de defesa como os antivírus e infectar instituições. Uma pesquisa da empresa de segurança ReliaQuest detalhou como os cibercriminosos enganam usuários para abrir os arquivos e instalar malwares, especialmente ferramentas de monitoramento e gerenciamento remoto (RMM).

• O que é phishing e como se proteger?
• O que são golpes spear phishing?

O ataque é mais um tipo de campanha maliciosa que explora extensões de arquivo incomuns para enganar proteções: arquivos de atalho (.lnk) estão entre os favoritos dos hackers, já que se trata de executáveis que não são tão monitorados quanto os mais comuns, como .exe e .dll, por exemplo. Os .scr são programas executáveis que podem rodar códigos arbitrariamente e não possuem restrições em diversas políticas de aplicativos, o que explica terem se tornado vetores de ataque.

Explorando a Proteção de Tela

O Canaltech está no WhatsApp!Entre no canal e acompanhe notícias e dicas de tecnologia

WhatsApp

Para invadir o computador do usuário, os hackers enviam iscas de phishing com tema corporativo, como recibos ou resumos de projeto. A vítima acaba abrindo um arquivo .scr hospedado em uma plataforma de nuvem fora da organização, e, caso baixe e execute, ferramentas de segurança muito provavelmente não notarão o ataque, já que o tipo de arquivo é incomum.

O que é instalado é uma ferramenta de RMM legítima, o JWrapper, mas que dá controle do computador da vítima ao hacker. Garantindo acesso persistente à máquina, os atacantes preparam o terreno para outras ações maliciosas, como roubo de credenciais, movimentação lateral e aplicação de ransomwares para extorquir a organização afetada.

Os pesquisadores da ReliaQuest ainda não identificaram os responsáveis pela onda de ataques, já que os hackers não possuem infraestrutura de IP consistente e usam armazenamento em nuvem, dificultando seu acompanhamento. O provável é que se trate de oportunistas, não de uma rede complexa de ataques massivos.

Em agosto de 2025, outros atacantes foram vistos usando o mesmo tipo de arquivo para infectar máquinas com o trojan de acesso remoto GodRAT, mirando principalmente em instituições financeiras. Segundo a ReliaQuest, empresas devem tratar arquivos .scr como os executáveis que são e restringir acesso a eles, dando diretrizes a aplicativos como o Windows Defender para só aceitá-los de fontes aprovadas e conhecidas.

Confira também no Canaltech:

• Avast lança "detector de deepfake" para Windows que analisa vídeos em tempo real
• Acabou o mito: Microsoft alerta para explosão de infostealers no macOS
• Campanhas de phishing exploram plataformas de nuvem usadas por empresas

VÍDEO | O QUE É PHISHING? SAIBA COMO SE PROTEGER! #Shorts

Fonte: ReliaQuest