Uma campanha sofisticada de envenenamento de SEO tem visado silenciosamente usuários do Windows desde pelo menos outubro de 2025, atraindo-os para baixar instaladores trojanizados para mais de 25 aplicativos de software populares. A operação passou despercebida por cerca de cinco meses antes que investigadores descobrissem seu escopo completo em março de 2026, revelando uma cadeia de infecção multicamadas que compromete silenciosamente as máquinas das vítimas e rouba dados sensíveis.
Descoberta e escopo da campanha
A campanha funciona empurrando páginas falsas de download de software para o topo dos resultados de mecanismos de busca, visando usuários que procuram ferramentas como VLC Media Player, OBS Studio, KMS Tools e CrosshairX. Quando uma vítima clica em um link de download, recebe um arquivo ZIP contendo tanto o software real quanto um componente malicioso oculto, e porque o aplicativo legítimo é iniciado posteriormente, a maioria das vítimas não percebe nada de incomum.
Os sites de isco foram construídos com classificações agregadas falsas do Schema.org e tags hreflang para vários idiomas para parecerem credíveis nos resultados de pesquisa. Analistas do NCC Group, trabalhando junto com a FOX-IT através de uma investigação conjunta acionada por um aumento de alertas relacionados ao ScreenConnect em ambientes de clientes, identificaram o escopo completo da campanha em março de 2026.
Vetor de ataque e exploração
A carga útil final entregue por esta campanha é o AsyncRAT, um trojano de acesso remoto de código aberto lançado pela primeira vez em 2019. Esta versão, rotulada internamente como "FlowProxy Monitor V3", vai além da funcionalidade padrão de RAT, incorporando um keylogger, monitor de área de transferência, um clipper de criptomoedas cobrindo 16 moedas e um sistema de plugin dinâmico que permite ao atacante empurrar capacidades adicionais para a memória em tempo de execução.
A construção também inclui um mecanismo de geocercagem que deliberadamente ignora a interceptação de criptomoedas para vítimas localizadas no Oriente Médio, Norte da África e Ásia Central. A infraestrutura de entrega também evoluiu ao longo da vida da campanha. As cargas úteis iniciais foram hospedadas em URLs estáticas e previsíveis, mas até o final de janeiro de 2026, o operador mudou para um sistema baseado em token aleatório onde cada link de download é gerado exclusivamente, tornando o bloqueio baseado em URL ineficaz.
Impacto e alcance
A infraestrutura de suporte abrange três hosts de retransmissão do ScreenConnect e dois backends de entrega de carga útil, com mais de 100 arquivos maliciosos vinculados a eles descobertos no VirusTotal no momento da análise. O backend de entrega primário, fileget[.]loseyourip[.]com, disfarça-se como um site de compartilhamento de arquivos, mas existe apenas para distribuir instaladores maliciosos.
A infecção começa no momento em que uma vítima executa o arquivo baixado. O arquivo ZIP agrupa um instalador VLC genuíno junto com um libvlc.dll malicioso. Como o libvlc.dll é uma dependência central do VLC, o Windows o carrega automaticamente quando o programa é iniciado, executando o código do atacante sob o processo de um aplicativo confiável através de uma técnica chamada DLL sideloading.
Análise técnica detalhada
Uma vez ativo, o DLL extrai um instalador MSI oculto e o executa silenciosamente. Este MSI implanta o ScreenConnect como um serviço do Windows, disfarçado como "Microsoft Update Service", e imediatamente entra em contato com o servidor de retransmissão do atacante. O atacante então usa o ScreenConnect para derrubar um VBScript que escreve um carregador PowerShell e arquivos de carga útil codificados em C:\Users\Public.
O carregador descriptografa esses arquivos usando operações XOR e reflexão de bits, depois compila um injetor .NET inteiramente na memória, que realiza o hollowing de processo para injetar o AsyncRAT no RegAsm.exe — um binário legítimo do Windows — deixando nenhum arquivo em disco para ferramentas de segurança escanearem.
Para sobreviver a reinicializações e sessões bloqueadas, a campanha estabelece três mecanismos de persistência: um serviço do Windows configurado para iniciar automaticamente, um Pacote de Autenticação do Windows que carrega no LSASS antes de qualquer usuário fazer login e uma tarefa agendada chamada "MasterPackager.Updater" que reexecuta o VBScript a cada dois minutos.
Medidas de mitigação recomendadas
Os usuários devem sempre baixar software diretamente de sites de fornecedores oficiais e tratar prompts de elevação inesperados durante a instalação como um aviso. As equipes de segurança devem monitorar implantações não autorizadas do ScreenConnect, eventos de hollowing de processo no RegAsm.exe e o mutex "confing_me_s" como indicadores baseados em host.
O bloqueio de domínios de isco confirmados, hosts de retransmissão e endereços C2 do AsyncRAT dos indicadores de comprometimento é fortemente recomendado.
Perguntas frequentes
Qual é o risco principal? O risco principal é o acesso remoto não autorizado e o roubo de dados através do AsyncRAT.
Como identificar a infecção? Monitore implantações de ScreenConnect não autorizadas e eventos de hollowing de processo.
Qual a recomendação imediata? Verifique a integridade dos instaladores de software e bloqueie domínios maliciosos.