Uma nova campanha de malware tem chamado a aten\u00e7\u00e3o de especialistas em ciberseguran\u00e7a por seu alto n\u00edvel de sofistica\u00e7\u00e3o e pela capacidade de assumir o controle completo de computadores com Windows sem levantar suspeitas. <\/p>\n\n\n\n
Batizada de SHADOW#REACTOR, essa ofensiva digital instala silenciosamente um trojan de acesso remoto (RAT) conhecido como Remcos, permitindo que criminosos monitorem, controlem e explorem os dispositivos das v\u00edtimas \u00e0 dist\u00e2ncia.<\/p>\n\n\n\n
O ataque se inicia por meio de t\u00e9cnicas cl\u00e1ssicas de engenharia social, como e-mails falsos, mensagens enganosas e links maliciosos, cuidadosamente elaborados para parecer leg\u00edtimos. <\/p>\n\n\n\n
Ao clicar no link, a v\u00edtima aciona involuntariamente a primeira etapa da infec\u00e7\u00e3o, acreditando estar acessando um conte\u00fado comum ou uma atualiza\u00e7\u00e3o necess\u00e1ria.<\/p>\n\n\n\n
O diferencial dessa campanha est\u00e1 no abuso de ferramentas leg\u00edtimas do pr\u00f3prio sistema operacional. O clique inicial executa um script Visual Basic ofuscado, chamado win64.vbs, acionado pelo wscript.exe, um componente nativo do Windows. <\/p>\n\n\n\n
Isso dificulta a identifica\u00e7\u00e3o da amea\u00e7a, j\u00e1 que o processo n\u00e3o parece malicioso \u00e0 primeira vista.<\/p>\n\n\n\n
Ap\u00f3s o primeiro est\u00e1gio, o malware carrega um script PowerShell codificado em Base64, t\u00e9cnica usada para esconder o verdadeiro conte\u00fado do c\u00f3digo. Essa etapa \u00e9 crucial, pois estabelece comunica\u00e7\u00e3o com servidores controlados pelos atacantes e inicia o download de arquivos aparentemente inofensivos em formato de texto.<\/p>\n\n\n\n
Os arquivos baixados, com nomes como qpwoe64.txt ou qpwoe32.txt, variam conforme a arquitetura do sistema e s\u00e3o armazenados na pasta tempor\u00e1ria do Windows. <\/p>\n\n\n\n
Embora pare\u00e7am irrelevantes, esses arquivos s\u00e3o pe\u00e7as-chave da infec\u00e7\u00e3o e passam por verifica\u00e7\u00f5es rigorosas antes de serem utilizados.<\/p>\n\n\n\n
O malware apresenta um comportamento incomum: ele verifica repetidamente se os arquivos baixados est\u00e3o completos e \u00edntegros. Caso algo d\u00ea errado, o c\u00f3digo pausa, tenta novamente e segue em frente sem encerrar a execu\u00e7\u00e3o. <\/p>\n\n\n\n
Essa l\u00f3gica evita falhas, garante persist\u00eancia e demonstra um n\u00edvel elevado de planejamento t\u00e9cnico.<\/p>\n\n\n\n
Quando os crit\u00e9rios s\u00e3o atendidos, o c\u00f3digo cria um novo script PowerShell, o jdywa.ps1, respons\u00e1vel por acionar um carregador protegido pelo .NET Reactor, uma ferramenta comercial de ofusca\u00e7\u00e3o. Esse carregador executa partes do malware diretamente na mem\u00f3ria, dificultando ainda mais a an\u00e1lise por antiv\u00edrus tradicionais.<\/p>\n\n\n\n
O ataque inclui verifica\u00e7\u00f5es anti-depura\u00e7\u00e3o e anti-m\u00e1quina virtual, projetadas para identificar se o ambiente est\u00e1 sendo monitorado por ferramentas de seguran\u00e7a ou pesquisadores. Caso detecte algo suspeito, o malware altera seu comportamento para evitar exposi\u00e7\u00e3o.<\/p>\n\n\n\n
Na fase final, os criminosos utilizam a t\u00e9cnica conhecida como living-off-the-land, que consiste em abusar de programas leg\u00edtimos para fins maliciosos. Nesse caso, o MSBuild.exe, ferramenta oficial da Microsoft, \u00e9 usado para carregar e executar o Remcos RAT, reduzindo ainda mais as chances de detec\u00e7\u00e3o.<\/p>\n\n\n\n
Scripts adicionais s\u00e3o criados para reativar periodicamente o processo inicial, garantindo que o malware continue ativo mesmo ap\u00f3s reinicializa\u00e7\u00f5es ou interrup\u00e7\u00f5es parciais. Isso d\u00e1 aos atacantes acesso cont\u00ednuo ao sistema comprometido.<\/p>\n\n\n\n
Especialistas avaliam que a campanha \u00e9 ampla e oportunista, focando principalmente em empresas de pequeno e m\u00e9dio porte, onde controles de seguran\u00e7a costumam ser menos rigorosos. <\/p>\n\n\n\n
O acesso obtido pode ser vendido para outros grupos criminosos, que realizam ataques ainda mais graves, como ransomware e roubo de dados sens\u00edveis.<\/p>\n\n\n\n
O aspecto mais alarmante dessa campanha \u00e9 sua capacidade de passar despercebida por longos per\u00edodos, permitindo espionagem, coleta de credenciais, captura de telas e at\u00e9 controle total do sistema, sem que a v\u00edtima perceba qualquer anormalidade.<\/p>\n\n\n\n
Especialistas recomendam medidas preventivas essenciais, como desconfiar de links inesperados, evitar a execu\u00e7\u00e3o de scripts desconhecidos, manter sistemas atualizados e utilizar solu\u00e7\u00f5es de seguran\u00e7a capazes de monitorar comportamentos suspeitos, especialmente o uso anormal de ferramentas nativas do Windows.<\/p>\n\n\n\n
Entender como essas amea\u00e7as funcionam \u00e9 o primeiro passo para evitar que um simples clique se transforme em uma invas\u00e3o completa do seu computador.<\/p>\n","protected":false},"excerpt":{"rendered":"
Uma nova campanha de malware tem chamado a aten\u00e7\u00e3o de especialistas em ciberseguran\u00e7a por seu alto n\u00edvel de sofistica\u00e7\u00e3o e pela capacidade de assumir o controle completo de computadores com Windows sem levantar suspeitas. Batizada de SHADOW#REACTOR, essa ofensiva digital instala silenciosamente um trojan de acesso remoto (RAT) conhecido como Remcos, permitindo que criminosos monitorem, […]<\/p>\n","protected":false},"author":5,"featured_media":7911,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"jnews-multi-image_gallery":[],"jnews_single_post":{"format":"standard"},"jnews_primary_category":[],"jnews_social_meta":[],"jnews_override_counter":[],"jnews_post_split":[],"footnotes":""},"categories":[83,84],"tags":[],"class_list":["post-41138","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-colunas","category-mais-tendencias"],"_referencia":"","_links":{"self":[{"href":"https:\/\/tribunademinas.com.br\/colunas\/maistendencias\/wp-json\/wp\/v2\/posts\/41138","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/tribunademinas.com.br\/colunas\/maistendencias\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/tribunademinas.com.br\/colunas\/maistendencias\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/tribunademinas.com.br\/colunas\/maistendencias\/wp-json\/wp\/v2\/users\/5"}],"replies":[{"embeddable":true,"href":"https:\/\/tribunademinas.com.br\/colunas\/maistendencias\/wp-json\/wp\/v2\/comments?post=41138"}],"version-history":[{"count":1,"href":"https:\/\/tribunademinas.com.br\/colunas\/maistendencias\/wp-json\/wp\/v2\/posts\/41138\/revisions"}],"predecessor-version":[{"id":41139,"href":"https:\/\/tribunademinas.com.br\/colunas\/maistendencias\/wp-json\/wp\/v2\/posts\/41138\/revisions\/41139"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/tribunademinas.com.br\/colunas\/maistendencias\/wp-json\/wp\/v2\/media\/7911"}],"wp:attachment":[{"href":"https:\/\/tribunademinas.com.br\/colunas\/maistendencias\/wp-json\/wp\/v2\/media?parent=41138"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/tribunademinas.com.br\/colunas\/maistendencias\/wp-json\/wp\/v2\/categories?post=41138"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/tribunademinas.com.br\/colunas\/maistendencias\/wp-json\/wp\/v2\/tags?post=41138"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}