Nos últimos meses surgiu uma campanha que combina uma engenharia social engenhosa com técnicas avançadas de sigilo para propagar um novo carregador de malware batizado como DeepLoad. O que a torna particularmente preocupante não é apenas a sua capacidade de intrusão, mas a forma deliberada em que tenta camuflar-se entre processos legítimos do Windows e evitar tanto a análise estática como muitos controles de segurança habituais, segundo apontaram pesquisadores que documentaram a ameaça.
O ponto de entrada não é um exploit sofisticado, mas sim uma armadilha psicológica: uma variante do senhô conhecida como "ClickFix", que persuade a vítima para que pegue e execute um comando no quadro Executar do Windows com a desculpa de corrigir um suposto problema inexistente. Esse comando invoca mshta.exe, uma utilidade legítima do sistema que descarrega e executa um programa de PowerShell ofuscado. O uso de mshta para executar cargas úteis foi descrito por analistas como um exemplo de "Signed Binary Proxy Execution", uma técnica que abusa de binários confiáveis do sistema para executar código malicioso ( MITRE ATT&CK — mshta). Para entender como funciona o mshta no Windows, você pode consultar a documentação oficial da Microsoft ( mshta — Microsoft Docs).
Uma vez em execução, o loader mostra um padrão calculado de evasão: seu código está deliberadamente cheio de designações e nomes sem sentido para esconder a lógica real e confundir assinaturas estáticas. Os analistas que investigaram o achado acreditam que os atacantes se apoiaram em ferramentas de inteligência artificial para gerar essa camada de ofuscação, uma tendência que está ganhando força na cena do malware porque permite produzir código “ruidoso” e variável com pouco esforço humano. DeepLoad também evita deixar rastros facilmente detectáveis, recorrendo a técnicas como desativar o histórico de comandos de PowerShell e, em vez de invocar cmdlets padrão, chamar diretamente a funções nativas do Windows para criar processos e manipular memória, o que esquiva muitas traços que monitoram atividade de PowerShell.
O carregador também tira truques para que seu binário se confunda com componentes legítimos do sistema: incrusta a carga em um executável com um nome que faz pensar no gestor de tela de bloqueio do Windows, e compõe uma segunda peça de forma dinâmica usando a capacidade de PowerShell Add-Type para compilar e executar o código C# em memória. Essa operação produz um DLL temporário escrito na pasta Temp com nomes em mudança cada execução, o que dificulta a detecção baseada em assinaturas ou em nomes de arquivo repetidos. A documentação do Add-Type no PowerShell é um bom ponto de referência para compreender como esta funcionalidade é aproveitada ( Add-Type — Microsoft Docs).
Na fase de execução do payload principal, DeepLoad recorre a injeção por Asynchronous Procedure Call (APC), uma forma de executar código dentro de processos confiáveis. A rotina consiste em lançar um processo objetivo em estado suspenso, escrever shellcode diretamente em sua memória e retomar, evitando assim deixar um executável descodificado em disco. Técnicas de injeção de processos como esta são englobadas nas categorias que descreve MITRE sob "Process Injection" ( MITRE ATT&CK — Process Injection), e seu uso reduz a visibilidade contra controles tradicionais que buscam arquivos ou chamadas típicas de PowerShell.
O objetivo funcional do malware não é apenas persistir: está orientado à exfiltração de credenciais. Extrae senhas armazenadas em navegadores e deixa instalada uma extensão maliciosa que captura credenciais em tempo real quando os usuários preenchem formulários de acesso, além de se manter residente entre sessões. Também incorpora um mecanismo de propagação por meios removíveis que copia acessos diretos com nomes atrativos – por exemplo, atalhos que simulam instaladores de navegadores ou ferramentas de suporte remoto – para induzir a execução quando outro usuário duplo clique o arquivo em uma máquina diferente.
A persistência silenciosa é outro ponto a destacar: DeepLoad faz uso do Windows Management Instrumentation (WMI) para se reinjetar em sistemas que pareciam “limpios” dias depois, sem interação adicional do atacante. WMI permite criar assinaturas de eventos que desencadeiam a execução posterior do código malicioso e, de passagem, quebra as cadeias pai-filho de processos que muitas regras de detecção rastreiam, dificultando o acompanhamento clássico de atividade maliciosa ( MITRE ATT&CK — WMI).
O retrato que resulta de todas estas técnicas é o de um carregador multipropósito projetado para operar furtivamente, mover-se rapidamente e oferecer aos atacantes capacidades de roubo de credenciais, movimento lateral e execução remota, tudo enquanto reduz a superfície de detecção ao evitar artefatos óbvios em disco e mimetizar-se com processos do sistema.
Ao mesmo tempo que a pesquisa sobre DeepLoad era pública, outra casa de segurança descreveu uma campanha paralela que reutiliza atalhos da Internet (arquivos .url) como vetor inicial. Nesse caso, um loader chamado Kiss Loader foi distribuído através de emails de phishing que ligam recursos WebDAV em domínios hospedados por TryCloudflare. O atalho inicial descarrega outro acesso directo que se faz passar por um PDF; ao executar, lança um programa WSH que executa JavaScript, depois um ficheiro em lote que mostra um PDF senhe, estabelece persistência na pasta de Início e descarrega um carregador escrito em Python. Esse loader finalmente decifra e executa uma variante de RAT (Venom/AsyncRAT) também usando APC para injeção. A assinatura de segurança por trás do relatório forneceu detalhes sobre este processo e suas etapas de entrega e persistência.
Estes incidentes evidenciam várias lições para defensores e responsáveis pela segurança. Por um lado, a crescente sofisticação na ofuscação, provavelmente assistida por ferramentas de IA, encarece o trabalho das soluções baseadas exclusivamente em assinaturas estáticas. Por outro lado, a exploração de utilitários legítimos do Windows e mecanismos como WMI ou mshta sublinha a importância de combinar controles de prevenção com telemetria avançada que detecte comportamentos anormais e correlacione sinais ao longo do tempo. A atenção para assinaturas WMI, a execução de locais temporários, o aparecimento de processos filhos não habituais e a monitorização da criação de DLLs ou injeções em memória são elementos que deveriam ganhar prioridade nas políticas de detecção.
Se se pretende aprofundar os relatórios e a análise técnica, é útil rever a documentação e os relatórios publicados pelas empresas de análise que investigaram estes casos. A página corporativa de ReliaQuest e os meios especializados coletaram os achados sobre DeepLoad, enquanto assinaturas como G DATA documentaram Kiss Loader e sua cadeia de entrega. Para consulta geral sobre as técnicas técnicas utilizadas, é conveniente enviar recursos consolidados como o MITRE ATT&CK e a documentação oficial da Microsoft sobre as ferramentas e APIs envolvidas ( ReliaQuest, The Hacker News, G DATA, MITRE ATT&CK, Microsoft Docs).
A conclusão para responsáveis pela segurança e usuários é clara: não basta confiar em bloqueios baseados em arquivos e assinaturas. A defesa efetiva deve incorporar controles de comportamento, segmentação de privilégios, restrições à execução de utilidades do sistema desde contextos não esperados e educação contínua do usuário para resistir armadilhas de engenharia social. O cenário de ameaças está a tornar-se mais dinâmico e automatizado; adaptar-se a essa realidade já não é opcional, é urgente.
Alerta de segurança Drupal vulnerabilidade crítica de injeção SQL em PostgreSQL obriga a atualizar imediatamente
Drupal publicou atualizações de segurança para uma vulnerabilidade qualificada como "altamente crítica" que afeta o Drupal Core e permite a um atacante conseguir injeção SQL arb...
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
RAMPART e Clarity redefinem a segurança dos agentes da IA com testes reprodutíveis e governança desde o início
A Microsoft apresentou duas ferramentas de código aberto, RAMPART e Clarity, que visam alterar a forma como a segurança dos agentes da IA é testada: uma máquina de computador e ...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...