Um novo operacional de malware voltou a mostrar como os atacantes combinam engenho técnico com o abuso de funções legítimas do sistema para passar despercebidos. Pesquisadores de Securonix descreveram uma campanha sofisticada, batizada como DEAD#VAX, que usa imagens de disco virtual (VHD) alojadas na rede descentralizada IPFS e uma cadeia de execução por etapas para implantar o troiano de acesso remoto conhecido como AsyncRAT. Para ler o relatório técnico original, você pode consultar a nota de Securonix aqui.
A infecção parte de um e-mail de phishing com um arquivo que aparenta ser um comando de compra em formato PDF, mas na verdade é um VHD hospedado em IPFS. Quando a vítima fizer duplo- click, o arquivo é montado como se fosse uma unidade, apresentando dentro de um arquivo de script Windows Script File (WSF). Este uso de VHD como contêiner é notável porque aproveita um mecanismo legítimo de Windows para sortear controles que analisam arquivos convencionais; a informática distribuída de IPFS facilita, além disso, que os atores maliciosos distribuam cargas sem passar por servidores tradicionais que poderiam ser bloqueados ou rastreados. Se você quer entender como o IPFS funciona e por que você está usando nesses contextos, a documentação oficial é um bom ponto de partida: ipfs.io.
Dentro da unidade montada há um WSF que, ao executar por erro do usuário, lança uma série de componentes ofuscados: scripts por lotes extremamente mascarados, um carregador de PowerShell que se autoanalisa e, finalmente, um shellcode x64 encriptado. O relevante aqui é que o payload não é gravado em disco em forma de executável; em vez disso, o código é decifrado em memória e injetado em processos legítimos do Windows, como o RuntimeBroker.exe, o OneDrive.exe, o taskhostw.exe ou o sihost.exe. Esta técnica de execução em memória reduz drasticamente as evidências forenses e complica a detecção por parte de soluções tradicionais baseadas em assinaturas de arquivos estáticos.
O mecanismo de persistência também busca mimetismo com o sistema: os atacantes empregam tarefas programadas para conseguir reinícios persistentes e um módulo de PowerShell atua como motor de execução em memória, validando o ambiente, desencriptando fragmentos incorporados e orquestrando a injeção dentro de processos assinados pela Microsoft. Além disso, o malware regula seu próprio comportamento temporário usando pausas e throttling para diminuir o uso de CPU e evitar padrões de API que disparem alertas. Esta mistura de controles de execução e living-off-the-land faz com que cada peça, isolada, pareça inócua, mas em conjunto forma um fluxo de ataque robusto e difícil de rastrear.
AsyncRAT, o payload final usado pelos atacantes, é um projeto com código acessível publicamente que fornece funcionalidades de controle remoto sobre um computador comprometido: captura de teclado e tela, acesso à câmera, monitoramento da área de transferência, manipulação do sistema de arquivos e execução remota de comandos, entre outras capacidades. A existência de versões abertas facilita sua reutilização por atores com diferentes motivações; a página do projeto está disponível no GitHub para quem quiser rever: AsyncRAT no GitHub.
Para defensores e administradores, a mudança de paradigma é evidente: já não basta controlar a chegada de executáveis. Deve ser reforçada a visibilidade sobre comportamentos em memória, monitorizar injeções de processos e cadeias de criação de processos, auditar tarefas programadas e monitorar conexões incomuns que apontem para infra-estruturas descentralizadas ou passarelas públicas de IPFS. Microsoft documenta comandos e procedimentos relacionados à gestão de discos virtuais no Windows, o que pode ajudar a entender por que os VHD se montam e como auditar seu uso: Attach-VHD (Microsoft Docs). Também é recomendável rever os guias e as melhores práticas sobre ameaças em memória e técnicas fileless publicadas por provedores de segurança e organismos oficiais para adaptar as defesas.
A observação de Securonix destaca uma tendência já conhecida na indústria da cibersegurança: a preferência dos atacantes por pipelines de múltiplas etapas que encadeiam componentes aparentemente legítimos e pela execução sem deixar artefatos em disco. Esta abordagem eleva a barreira para a detecção e análise forense, e obriga as equipas de resposta a modernizar-se, não só com assinaturas mais inteligentes, mas com telemetria de comportamento, isolamento por processos e controles sobre o uso de scripts e ferramentas administrativas. As assinaturas continuam a ser úteis, mas a visibilidade em tempo de execução e a correlação contextual são cada vez mais críticas.
Em suma, o DEAD#VAX é um lembrete de que os adversários continuam procurando e explorando pontos cegos nos ambientes corporativos: combinam contentores legítimos como VHD, redes distribuídas como IPFS, técnicas de ofuscação e execução em memória para entregar uma carga que pode operar durante muito tempo sem ser detectada. A resposta não passa por uma única medida, mas por uma estratégia de defesa em profundidade que inclua controle de scripts, políticas de execução, monitoramento de processos, análise de comportamento e boa higiene operacional. Para acompanhar o tópico das investigações e manter-se atualizado, além do relatório de Securonix, convém rever análises de ameaças e recursos de resposta a incidentes em meios especializados e nos repositórios oficiais de segurança.
Se você gerir a segurança de endpoints ou infra-estruturas, coloca controlos que restrinjam a execução de programas não assinados, que registram e alertem sobre montagem de imagens de disco inesperados e que permitam bloquear ou investigar comunicações para nós e passarelas não aprovadas. A nota de Securonix oferece detalhes técnicos úteis e é um bom ponto de partida para adaptar as detecções: Relatório completo. E para compreender melhor o fenômeno mais amplo das ameaças que operam principalmente em memória, as análises de segurança de grandes fornecedores como a Microsoft fornecem contexto e recomendações práticas sobre defesa contra técnicas fileless: Microsoft Security Blog.
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
RAMPART e Clarity redefinem a segurança dos agentes da IA com testes reprodutíveis e governança desde o início
A Microsoft apresentou duas ferramentas de código aberto, RAMPART e Clarity, que visam alterar a forma como a segurança dos agentes da IA é testada: uma máquina de computador e ...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...