Os investigadores de segurança têm mostrado uma campanha preocupante em que um conjunto de programas catalogados em princípio como software potencialmente indesejado (PUP) não mostrava apenas anúncios: escondia uma cadeia de atualização capaz de introduzir cargas úteis que são executadas com privilégios de SYSTEM e deixam os equipamentos sem proteção antivírus. De acordo com as equipas que analisaram o caso, num só dia mais de 23.500 equipas em 124 países tentaram entrar em contato com a infraestrutura do operador, e entre eles havia centenas localizadas em redes de alto valor como universidades, prestadores de serviços públicos, administrações e centros de saúde.
O que começou como adware acabou por se comportar como um desativador de defesas. As amostras analisadas estavam assinadas digitalmente por uma entidade que operava sob o nome Dragon Boss Solutions LLC e promoveu supostos "navegadores" (nomes como Chromstera, Chromnius, WorldWideWeb, Web Genius ou Artificius Browser) que, na prática, foram detectados por várias soluções de segurança como PUPs. As análises revelaram que esses instaladores incorporavam um mecanismo de atualização comercial – desenvolvido com a ferramenta Advanced Installer – que poderia baixar e instalar MSI e scripts PowerShell de forma totalmente silenciosa e com elevação de permissões. Mais informações sobre Advanced Installer na sua documentação oficial: https://www.advancedinstaller.com/user-guide/tutorial-update.html.
O instalador remoto descarregado por esse mecanismo estava camuflado (por exemplo, um arquivo Setup.msi apresentado como se fosse uma imagem) e, embora em plataformas de análise comunitária como VírusTotal só aparece assinalado por alguns detectores, seu conteúdo incluía componentes legítimos usados pela Advanced Installer e também um arquivo de configuração com ações personalizadas. Antes de colocar sua carga principal, o MSI realizava um reconhecimento da equipe: comprobava se o processo fosse executado com privilégios administrativos, se o ambiente era uma máquina virtual, se tinha acesso à Internet e quais soluções antivírus estavam presentes no registro (os pesquisadores viram verificações dirigidas a produtos de fabricantes como Malwarebytes, Kaspersky, McAfee e ESET).
A rotina de desativação foi materializada em um programa PowerShell batizado pelos analistas como ClockRemoval.ps1, que se alojava em múltiplos locais e se configurava para executar no início do sistema, no início de sessão e periodicamente a cada meia hora. Esse script não se limitava a parar processos ou serviços: tentava desinstalar silenciosamente produtos de segurança, apagava pastas e entradas de registro associadas, forzaba eliminações quando os desinstaladores falhavam e bloqueia a reinstalação ou atualização dos fornecedores modificando o arquivo hosts ou anulando seus domínios (referindo-os a 0.00.0). Além disso, o atacante parecia evitar interferências com instaladores de navegadores legítimos — como Chrome, Edge, Firefox ou Opera — para garantir a persistência de suas modificações e redireções.
Um detalhe crítico neste incidente é que os domínios principais usados pela funcionalidade de atualização não estavam registrados pelo operador; isso deixou milhares de equipes buscando instruções em nomes de domínio que ficavam livres. Os pesquisadores aproveitaram esta situação para registrar o domínio principal, o que lhes permitiu observar dezenas de milhares de conexões salientes desde máquinas comprometidas e, de passagem, evitar que um terceiro pudesse apropriar-se do domínio e enviar ordens ou payloads arbitrárias a hostis já desprotegidos. Este tipo de tomada de controle do domínio de atualização é uma intervenção defensiva delicada que já foi utilizada em pesquisas prévias para prevenir uma escalada maior.
O alcance detectado pelos analistas incluiu centenas de equipamentos em redes estratégicas: um volume importante em instituições acadêmicas de várias regiões, sistemas de controle industrial e de transporte, administrações públicas e alguns ambientes sanitários. Embora, no momento da descoberta, a carga principal se concentrasse em desativar soluções de segurança e gerar receitas publicitárias, os pesquisadores alertam que a infraestrutura e o mecanismo de entrega poderiam colocar em risco qualquer rede: Se um ator mal-intencionado tomasse o controle do domínio de atualização, poderia distribuir software muito mais prejudicial a milhares de máquinas que já não possuem proteção ativa.
Para equipes de IT e resposta a incidentes, as análises publicadas oferecem indicadores práticos que convém rever imediatamente: procurar processos assinados por Dragon Boss Solutions LLC, inspecionar assinaturas de eventos WMI que contenham cadeias como "MbRemoval" ou "MbSetup", e verificar tarefas programadas que referem nomes como "WMILoad" ou "ClockRemoval". Também é recomendável auditar o arquivo hosts em busca de entradas que bloqueem domínios de provedores de segurança e revisar as exclusões da Microsoft Defender para rotas invulgares (por exemplo, entradas que comecem por “DGoogle”, “EMicrosoft” ou “DDapps”). Para entender melhor como gerenciar exclusões em Defender pode consultar a documentação oficial da Microsoft: https://learn.microsoft.com.
Embora a descrição técnica possa ser complexa, a ideia central é simples: um componente que inicialmente parece inofensivo pode se tornar uma porta traseira poderosa se incorpora um mecanismo de atualização com permissões elevadas e acesso remoto. Por isso, para além da detecção e remoção pontuais, as organizações devem fortalecer sua higiene digital: controlar quais assinaturas e fornecedores têm permissão para instalar software, limitar a elevação de privilégios através de políticas, monitorar seus canais de atualização e manter procedimentos de resposta que permitam recuperar máquinas que perderam suas defesas.
Os relatórios públicos sobre este incidente incluem o trabalho da empresa que o detectou e a cobertura em meios especializados. Para seguir as notas originais e as análises técnicas, consultar a página principal de Huntress, que foi a assinatura que investigou o caso, bem como meios que coletaram as informações e contextos adicionais: https://www.huntress.com/ e o cabeçalho de pesquisa técnica BleepingComputer. O arquivo MSI usado no teste aparece no VírusTotal e pode ser examinado a partir da plataforma de análise: Vírus total: hash do MSI. Para informações gerais sobre as consequências das alterações ao arquivo hosts e porque os atacantes o usam para bloquear atualizações, a documentação técnica da Microsoft é um recurso de referência: editar o arquivo hosts no Windows.
Em suma, este caso lembra que os atores maliciosos nem sempre precisam implantar troianos complexos desde o início: às vezes basta com uma peça de software assinada que abuse de um mecanismo legítimo de atualização para apagar as luzes de uma rede e preparar o terreno para ameaças maiores. Manter políticas de controle de software, monitorar padrões incomuns de atualização e responder rapidamente a sinais de desativação de AV são medidas que hoje podem evitar uma crise amanhã.
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...
PinTheft o exploit público que pode ser root no Arch Linux
Um novo exploit público levou à superfície novamente a fragilidade do modelo de privilégios no Linux: a equipe de V12 Security baniu a falha como PinTheft e publicou um teste de...