Pesquisadores da Microsoft Threat Intelligence identificaram uma campanha ativa onde criminosos disfarçam trojans de acesso remoto (RATs) como instaladores legítimos de utilitários para jogos, como Xeno e Roblox. Os arquivos maliciosos, distribuídos via navegadores e plataformas de chat, empregam táticas avançadas de "living-off-the-land" (LOL) para evitar detecção e garantir persistência no sistema comprometido.
A mecânica do ataque
Os usuários são induzidos a baixar executáveis nomeados como Xeno.exe ou RobloxPlayerBeta.exe. Estes arquivos atuam como downloaders, iniciando uma cadeia de infecção complexa. Eles instalam um Java Runtime portátil que, por sua vez, executa um arquivo JAR malicioso (jd-gui.jar). O malware então aproveita binários legítimos do sistema Windows, como PowerShell e cmstp.exe, para se esconder e realizar suas atividades.
Táticas de evasão e persistência
A campanha demonstra um alto nível de sofisticação na evasão:
- Uso de LOLBins: Explora ferramentas confiáveis do Windows (LOLBins) para carregar e executar cargas maliciosas, mascarando a atividade como processos do sistema normais.
- Desabilitação do Defender: Um script se conecta a um domínio de comando e controle (como powercatdog) que instrui a remoção de traços do downloader inicial e, criticamente, adiciona exceções no Microsoft Defender para os componentes do RAT.
- Persistência Automática: Através do gerenciador de tarefas do Windows, um script VBS (word.vbs) é programado para ser executado a cada inicialização do sistema, garantindo que o acesso remoto seja mantido.
Recomendações de proteção
A Microsoft afirma que o Defender já foi atualizado para detectar esta campanha específica e os comportamentos associados. No entanto, a empresa recomenda medidas adicionais de proteção:
- Monitorar o tráfego de saída da rede em busca de conexões suspeitas para os domínios e IPs listados nos Indicadores de Comprometimento (IoCs) divulgados.
- Baixar software apenas de fontes oficiais e verificadas, evitando utilitários de terceiros promovidos em fóruns ou chats não confiáveis.
- Manter uma postura de segurança que vá além da assinatura de antivírus, incluindo a detecção de comportamentos anômalos e o uso de ferramentas de resposta a incidentes (EDR/XDR).
O alvo: jogadores desprevenidos
Esta campanha tem como alvo principal jogadores, um grupo que frequentemente busca ferramentas de terceiros para moderação, cheats ou melhor desempenho. A lição é clara: a promessa de vantagens em jogos online continua sendo um isca poderosa para a entrega de malware. A segurança básica, como desconfiar de ofertas muito boas para serem verdade e verificar a procedência de qualquer software, é a primeira e mais importante linha de defesa.