Nos últimos dias, voltou a destacar uma tática que os criminosos informáticos conhecem bem: aproveitar o interesse dos usuários por utilitários e mods relacionados aos jogos para os enganar e conseguir que executem código malicioso. De acordo com a pesquisa da Microsoft, grupos criminosos estão distribuindo versões troceadas – ou “troyanizadas” – de ferramentas de jogo através de navegadores e plataformas de mensagens; essas descargas atuam como porta de entrada para um troiano de acesso remoto (RAT) que converte a equipe infectado em uma máquina controlada à distância.
O esqueleto da campanha é distintivo pelo uso de ferramentas legítimas do sistema para ocultar a execução maliciosa. Os atacantes preparam um ambiente Java portátil e lançam um arquivo JAR malicioso (identificado como jd-gui.jar), apoiando-se em PowerShell e em binários do sistema conhecidos como LOLBins — por exemplo cmstp.exe — para executar o código sem levantar suspeitas. A Microsoft publicou um fio em X onde explica esta cadeia de ataque e como os operadores aborream suas pegadas ao remover o download inicial e, além disso, criar exclusões na Microsoft Defender para os componentes do RAT: medidas concebidas para dificultar a detecção e a remediação. Você pode consultar o aviso da Microsoft em sua publicação em X aqui: https://x.com/MsftSecIntel/status/2027070355487997998.
A persistência dos equipamentos comprometidos é alcançada através da criação de uma tarefa programada e de um programa de arranque do Windows com o nome “world.vbs”, que garantem que o software malicioso sobreviva a reinício e se volte a executar. Uma vez que o malware está ativo, comunica-se com um servidor de comando e controle localizado na direção 79.110.49[.]15, desde onde podem ser ordenados exfiltração de dados, descarga de cargas adicionais e outras ações remotas. A Microsoft descreve esta família como “multipropósito”: um carregador, baixador e RAT ao mesmo tempo, o que enfatiza sua capacidade para evoluir e ampliar seu impacto na máquina infectada.
Paralelamente a estas invasões, empresas de cibersegurança detectaram e analisaram novas famílias da RAT que agrupam funcionalidades que antes costumavam ser vendidas separadamente. Um exemplo recente é Steaelite, identificado por BlackFog. De acordo com essa análise, Steaelite foi divulgado em fóruns ilícitos como um “melhor RAT para Windows” com capacidades FUD (fully undetectável) e suporte para Windows 10 e 11. O que chama a atenção é que este malware integra em um único painel web funções de roubo de informações e implantação de ransomware, com um módulo para Android em desenvolvimento; isto é, permite a um único operador gerir o acesso, extrair credenciais e implantar cifradores da mesma interface. A pesquisadora Wendy McCague, do BlackFog, resume o problema em uma imagem preocupante: uma única ferramenta que facilita a dupla extorsão ao combinar exfiltração e criptografia de um mesmo tabuleiro de controle.
Steaelite também incorpora utilitários que facilitam a tarefa do atacante: keyloggers, chat cliente-a-vítima, busca de arquivos, propagação via USB, modificação do fundo de tela, bypass de UAC e funções de "clipper" para roubar informações copiadas para a área de transferência. Não é por acaso que estas suites também incluam mecanismos para desativar ou confundir defesas - remoção de malware concorrente, desativação da Microsoft Defender ou configuração de exclusões - e para estabelecer persistência de forma automática.
No mesmo ecossistema foram observadas outras famílias da RAT como o DesckVB e o KazakRAT, que mostram como os operadores modularizam suas capacidades e ativam-nas de forma seletiva após a intrusão. O projeto DesckVB está disponível publicamente como repositório de pesquisa em GitHub, enquanto a análise da KazakRAT sugere uma possível utilização por intervenientes relacionados com campanhas focadas no Cazaquistão e no Afeganistão pode ser consultada no relatório Ctrl Alt Intel.
Diante deste panorama, as recomendações concretas de defesa são simples em conceito, mas requerem disciplina e ferramentas adequadas. A Microsoft aconselha a auditar as exclusões de Defender e as tarefas programadas, eliminar tarefas e scripts de início maliciosos, isolar endpoints comprometidos e restaurar as credenciais dos usuários que trabalharam em máquinas afetadas. Adicionado a isso, convém bloquear e monitorar comunicações para domínios ou IPs suspeitos, como o IP associado ao C2 citado, e revisar os registros de execução de binários pouco habituais para detectar abusos de LOLBins.
Além das medidas reativas, há passos preventivos que ajudam a reduzir a probabilidade de infecção. Manter o software atualizado, evitar instalar runtimes ou ferramentas portáteis que não provem de fontes verificadas, verificar assinaturas e somas de verificação dos arquivos baixados e limitar os privilégios locais impedem que uma descarga enganosa se torne uma intrusão persistente. As organizações devem ativar a proteção de integridade e proteção contra manipulação em suas soluções antivírus, implantar capacidades EDR que registram comportamento suspeito (por exemplo, uso incomum de cmstp.exe ou PowerShell) e contar com cópias de segurança sólidas e verificadas fora de linha para mitigar o impacto de um possível ransomware. Para entender melhor o fenômeno dos LOLBins, você pode consultar o projeto LOLBAS, que documenta como os binários legítimos são usados para fins maliciosos: https://lolbas-project.github.io/.
A segurança efetiva diante de ameaças como estas combina higiene digital básica, políticas de controle de aplicativos, monitoramento de rede e resposta rápida. Agotar as vias de entrada — não abrir executáveis baixados de fontes não fiáveis, configurar restrições de execução e revisar exclusões de antimalware — reduz enormemente o risco. Para guias práticas e medidas de resiliência contra ameaças de dupla extorsão e ransomware, as agências como a CISA mantêm recursos e guias que podem servir de referência: https://www.cisa.gov/resources-tools.
Se você usa a sua equipe para jogar ou transferir recursos comunitários, lembre-se que a conveniência pode ter um custo: baixar e executar sem verificar é a via mais frequente para introduzir um RAT no seu sistema. O contraste de fontes, a prudência com os executáveis e uma boa política de segurança em seu ambiente pessoal ou corporativo são as melhores defesas para que uma sessão de jogo não termine se tornando um acesso remoto não autorizado.
Alerta de segurança Drupal vulnerabilidade crítica de injeção SQL em PostgreSQL obriga a atualizar imediatamente
Drupal publicou atualizações de segurança para uma vulnerabilidade qualificada como "altamente crítica" que afeta o Drupal Core e permite a um atacante conseguir injeção SQL arb...
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
RAMPART e Clarity redefinem a segurança dos agentes da IA com testes reprodutíveis e governança desde o início
A Microsoft apresentou duas ferramentas de código aberto, RAMPART e Clarity, que visam alterar a forma como a segurança dos agentes da IA é testada: uma máquina de computador e ...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...