Hack Alerta

Conversores falsos via anúncios entregam RATs com assinatura digital

Por Redação Hack Alerta Publicado em 19/01/2026 12:03 Cyber ataques Tempo de leitura: 3 min

Campanha usa anúncios maliciosos para distribuir conversores trojanizados que instalam RATs persistentes assinados digitalmente. Nextron Systems observou uso de certificados de code signing e tarefas agendadas iniciando +1 dia após infecção; listou domínios de entrega e técnicas de detecção.

Anúncios maliciosos direcionando usuários a sites de "conversores" estão distribuindo aplicativos trojanizados que instalam RATs persistentes; análise foi publicada por Nextron Systems e divulgada por veículos do setor.

Cadência da campanha e vetor inicial

Segundo a análise citada, a cadeia de infecção começa com anúncios maliciosos (por exemplo, anúncios do Google) exibidos em sites legítimos. Usuários procurando ferramentas como conversores de Word para PDF clicam no anúncio e são redirecionados por várias domínios até páginas falsas que entregam instaladores trojanizados.

Aspectos de evasão

Os operadores usam certificados de assinatura de código (code signing) emitidos para entidades como BLUE TAKIN LTD, TAU CENTAURI LTD e SPARROW TIDE LTD, conferindo aparente legitimidade aos binários. Embora muitas dessas assinaturas tenham sido posteriormente revogadas, a campanha continua a emergir com novos certificados válidos.

Payload e persistência

Os conversores maliciosos, escritos em C#, instalam payloads adicionais em %LocalAppData% e criam tarefas agendadas que executam binários de "updater" a cada 24 horas. A análise aponta que as tarefas normalmente começam um dia após a infecção inicial (um indicador forense útil de timestamp de acesso inicial).

Mecanismo de controle

O estágio final funciona como um motor de execução genérico que se conecta a servidores C2 para recuperar e executar assemblies .NET. Um componente chamado UpdateRetriever.exe autentica com o C2, baixa código e executa silenciosamente, oferecendo capacidades típicas de RAT: roubo de dados, keylogging, captura de tela, acesso ao sistema de arquivos e download de cargas adicionais.

Detecção e defesa

A análise recomenda medidas operacionais e detecções específicas:

  • Monitorar o evento do Windows ID 4698 (tarefa agendada criada) em Security.evtx, com auditoria de acesso a objetos habilitada;
  • Observar tarefas suspeitas executando a partir de %LocalAppData% como ancoragem de detecção;
  • Combinar com Sysmon (por exemplo, Event ID 13 para monitoramento de registro) e eventos do Task Scheduler para correlação;
  • Implementar controle de aplicação (AppLocker ou equivalente) bloqueando execução a partir de locais graváveis por usuários;
  • Criar regras de negação para certificados de assinatura de código conhecidos maliciosos.

Domínios de entrega observados

  • ez2convertapp[.]com
  • convertyfileapp[.]com
  • powerdocapp[.]com
  • infinitedocsapp[.]com
  • convertmasterapp[.]com
  • conmateapp[.]com
  • pdfskillsapp[.]com
  • pdfclickapp[.]com
  • zappdfapp[.]com
  • onezipapp[.]com
  • crystalpdf[.]com
  • pdfsparkware[.]com
  • zipmatepro[.]com
  • notawordapp[.]com

O que falta e observações finais

Relatos falam em “milhares” de sistemas infectados, mas não entregam contagem precisa por país, nem listas de vítimas corporativas. A análise técnica presente nas fontes fornece artefatos de detecção e um indicador temporal útil (+1 dia para início da tarefa agendada), o que é relevante para investigações forenses.

Fonte

Análise da Nextron Systems divulgada em cobertura de Cyber Security News.

Baseado em publicação original de Cyber Security News (Nextron Systems)
Tags: #rat #conversor #anuncios-maliciosos #code-signing #c2 #detecção #sysmon #applocker #nextron
Publicado pela Redação Hack Alerta com base em fontes externas citadas e monitoramento editorial do Hack Alerta. Para decisões técnicas, operacionais ou jurídicas, confirme sempre os detalhes na fonte original.
← Voltar