O que começou como um alerta de adware rotineiro rapidamente se transformou em algo muito mais sério. Na manhã de 22 de março de 2026, alertas de segurança começaram a disparar em múltiplos ambientes gerenciados, todos ligados a software assinado por uma empresa chamada Dragon Boss Solutions LLC. Os executáveis pareciam inofensivos à primeira vista, mas estavam usando silenciosamente um mecanismo de atualização embutido para realizar um ataque de múltiplas etapas projetado para matar ferramentas antivírus e deixar os sistemas completamente desprotegidos.
Descoberta e escopo da campanha
A Dragon Boss Solutions LLC apresenta-se como uma empresa envolvida em "pesquisa de monetização de pesquisa". Seu software assinado, no entanto, tinha um propósito muito mais sombrio. Executando com privilégios SYSTEM completos, esses executáveis buscavam e implantavam silenciosamente payloads capazes de desativar produtos de segurança em máquinas infectadas. O comportamento de eliminação de antivírus foi observado pela primeira vez no final de março de 2025, embora os carregadores e atualizadores subjacentes estivessem presentes nos sistemas das vítimas desde o final de 2024.
A operação usou o Advanced Installer, uma ferramenta de atualização legítima fora da prateleira, para entregar payloads baseados em MSI e PowerShell, escondendo-se atrás de uma camada de aparente legitimidade. Pesquisadores da Huntress, James Northey e Ryan Dowd, identificaram a ameaça após sinais de persistência WMI começarem a disparar em ambientes gerenciados. Rastreando a atividade de volta, descobriram um executável assinado chamado RaceCarTwo.exe como a origem de toda a cadeia de infecção.
Detalhes técnicos do payload anti-antivírus
A partir daí, o ataque implantou o Setup.msi, que por sua vez executou um script PowerShell chamado ClockRemoval.ps1 — um poderoso matador de antivírus que não apenas desligava os processos de segurança, mas também bloqueava ativamente qualquer tentativa de reinstalá-los. O que tornava a situação especialmente alarmante era uma falha crítica embutida na configuração de atualização. O domínio de atualização primário, chromsterabrowser[.]com, estava completamente não registrado, o que significava que qualquer pessoa disposta a gastar cerca de 10 dólares para registrá-lo ganharia instantaneamente a capacidade de enviar qualquer payload para cada endpoint infectado executando essa variante de software.
A Huntress registrou o domínio primeiro, apontou-o para um sinkhole e, em poucas horas, dezenas de milhares de sistemas infectados começaram a entrar em contato procurando instruções — ransomware, infostealer ou qualquer outra coisa inteiramente. Em uma janela de monitoramento de 24 horas, 23.565 endereços IP únicos se conectaram ao sinkhole, confirmando a verdadeira escala de infecções ao vivo em todo o mundo.
Impacto e alcance geográfico
A disseminação geográfica da campanha foi significativa. Os Estados Unidos tiveram o maior número de infecções com 12.697 hosts (53,9%), seguidos pela França com 2.803 (11,9%), Canadá com 2.380 (10,1%), Reino Unido com 2.223 (9,4%) e Alemanha com 2.045 (8,7%). Entre todas as infecções, 324 foram rastreadas para redes de alto valor, incluindo 221 universidades e faculdades, 41 redes de tecnologia operacional ligadas a utilitários elétricos e infraestrutura crítica, 35 entidades governamentais, 24 escolas primárias e secundárias e 3 organizações de saúde. Múltiplas redes de empresas Fortune 500 também estavam entre as afetadas.
Medidas de mitigação recomendadas
Equipes de segurança devem caçar assinaturas de eventos WMI contendo "MbRemoval" ou "MbSetup" no nome do consumidor, monitorar tarefas agendadas apontando para diretórios WMILoad ou scripts ClockRemoval, sinalizar qualquer processo assinado pela Dragon Boss Solutions LLC, inspecionar o arquivo hosts para domínios de fornecedores de antivírus bloqueados e verificar caminhos de exclusão do Windows Defender para entradas suspeitas como DGoogle, EMicrosoft ou DDapps. O script também modificou o arquivo hosts do Windows para redirecionar domínios de atualização de fornecedores de antivírus, incluindo Malwarebytes e Kaspersky, para 0.0.0.0, cortando todas as rotas de reinstalação.
Perguntas frequentes sobre a infecção
Os binários do Chrome assinados pela Dragon Boss Solutions também foram observados executando com a flag --simulate-outdated-no-au="01 Jan 2199", desabilitando permanentemente o recurso de atualização automática do Chrome. A manutenção de backups regulares e offline, a atualização de sistemas operacionais e aplicativos e o monitoramento de ferramentas de acesso remoto podem limitar significativamente o dano se um sistema for comprometido, mesmo quando os atacantes tentam se esconder atrás de componentes Adwind personalizados.