Criminosos cibernéticos encontraram uma maneira engenhosa de contornar as defesas de segurança escondendo malware dentro de um programa que a maioria das pessoas confia sem pensar duas vezes. Pesquisadores descobriram uma campanha que abusa do popular player de mídia VLC para instalar silenciosamente o ValleyRAT, um trojano de acesso remoto que dá aos atacantes controle total sobre computadores infectados.
Descoberta e escopo da campanha
Analistas da LevelBlue identificaram a campanha enquanto acompanhavam um aumento constante nas detecções do ValleyRAT através de seu Centro Global de Operações de Segurança. O malware tem estado ativo desde 2023, mas a atividade acelerou drasticamente através de 2025 e em 2026, quase dobrando em comparação com o ano anterior. A campanha baseada em e-mail malicioso visa especificamente usuários de língua chinesa e japonesa, embora o risco se estenda muito além dessas regiões, dado o número de empresas globais que operam escritórios regionais.
O que torna esta campanha notável é o uso de um aplicativo legítimo como camuflagem. Em vez de escrever malware do zero que o software antivírus poderia sinalizar imediatamente, os atacantes reaproveitaram o executável VLC confiável em si, pareando-o com uma versão corrompida de um de seus arquivos de suporte para passar pelas defesas sem detecção.
Vetor e exploração
A cadeia de infecção começa quando uma vítima clica em um link em um e-mail de phishing, acionando o download de um arquivo ZIP contendo dois arquivos: um executável e uma DLL. O executável é disfarçado com um nome de arquivo em japonês relacionado ao assunto do e-mail, mas sua descrição interna de arquivo e hash correspondem a uma construção genuína do player de mídia VLC. O arquivo acompanhante, chamado libvlc.dll, é um componente do qual o VLC normalmente depende para funcionar.
Como o Windows confia em aplicativos assinados como o VLC, lançar o executável falso faz com que ele carregue esta DLL maliciosa automaticamente, uma técnica que os pesquisadores chamam de DLL sideloading. Isso permite que o código prejudicial seja executado sob a cobertura de um nome de programa reconhecido e legítimo. Uma vez carregado, a DLL copia ambos os arquivos para um diretório fixo e cria uma entrada de registro para que o executável seja reiniciado sempre que a vítima fizer login, garantindo que a infecção sobreviva a uma reinicialização.
Evasão e execução sem arquivo
O mecanismo de entrega do ValleyRAT vai a grandes comprimentos para evitar ser pego em um sandbox ou ambiente de análise. Antes de fazer qualquer coisa prejudicial, o malware verifica a memória disponível, conta os núcleos do processador e mede quanto tempo um comando de sono realmente leva, já que ambientes de teste virtuais muitas vezes se comportam de maneira diferente de máquinas reais. Se qualquer uma dessas verificações sugerir que está sendo observado, o malware simplesmente para e não faz nada mais.
Parte mais preocupante é como o payload final é entregue. O componente ValleyRAT baixado, criptografado com um simples cipher RC4, é descriptografado diretamente na memória e injetado em um processo do sistema suspenso em vez de ser salvo em disco. Esta abordagem sem arquivo significa que nenhum arquivo malicioso óbvio é deixado para trás para que varreduras antivírus tradicionais possam capturar.
Indicadores de comprometimento
Os pesquisadores recomendam que as organizações treinem funcionários para reconhecer sinais de alerta, como nomes de arquivo em japonês incomuns em executáveis, descrições de arquivos incompatíveis e e-mails de negócios enviados de domínios de webmail gratuitos. A implantação de ferramentas de detecção de endpoint capazes de identificar comportamento de DLL sideloading e injeção incomum de processo também é aconselhada.
Para organizações já afetadas, isolar o sistema comprometido da rede e revisar os logs de segurança para entender quais ações o atacante realizou são os primeiros passos essenciais. Em casos mais graves, uma reinstalação completa do sistema operacional pode ser o caminho mais seguro para frente.
Medidas de mitigação recomendadas
1. Treine usuários para identificar e-mails suspeitos e arquivos anexos incomuns. 2. Implemente soluções de detecção de endpoint que monitorem DLL sideloading. 3. Bloqueie a execução de scripts e binários de diretórios temporários. 4. Revise logs de sistema para atividades de processo anômalas. 5. Mantenha o software atualizado e aplique patches de segurança regularmente.
Perguntas frequentes
Como o ValleyRAT se instala? Ele usa DLL sideloading através de um executável VLC falso para carregar código malicioso na memória.
É detectável por antivírus? Técnicas de evasão e execução sem arquivo tornam a detecção tradicional difícil, exigindo soluções EDR avançadas.
Quem é o alvo? Inicialmente usuários de língua chinesa e japonesa, mas o risco é global devido à natureza das cadeias de suprimentos.