Pesquisadores de segurança da Inteligência de Ameaças da Microsoft emitiram alertas de que hackers estão usando supostas ferramentas para jogos como Xeno e Roblox para entregar RATs (trojans de acesso remoto). Os executáveis baixados parecem legítimos e inofensivos, mas usam diversas táticas furtivas para permanecerem ativos no computador da vítima.
- O que é um ciberataque "living off the land"?
- Arquivo .scr é vírus? Entenda o perigo e aprenda a bloquear no Windows
Os arquivos, disfarçados como Xeno.exe ou RobloxPlayerBeta.exe, por exemplo, agem como downloaders que preparam o sistema para a próxima fase de ataque. É instalado um Java runtime portátil que lança o arquivo malicioso jd-gui.jar, usando ferramentas legítimas do Windows, como o PowerShell e binários do sistema como cmstp.exe, para o malware se manter escondido.
Ataque living-off-the-land
Executáveis confiáveis, conhecidos como binários living-off-the-land (LOLbins), permitem que os hackers explorem softwares já presentes no sistema Windows para evitar detecção, já que sua atividade parece ser um processo normal. No malware em questão, o PC da vítima é conectado a servidores remotos, que salvam o arquivo malicioso update.exe e o executam automaticamente.
-
Entre no Canal do WhatsApp do Canaltech e fique por dentro das últimas notícias sobre tecnologia, lançamentos, dicas e tutoriais incríveis.
-
Microsoft Defender researchers uncovered a campaign that lured users into running trojanized gaming utilities (Xeno.exe or RobloxPlayerBeta.exe) distributed through browsers and chat platforms, leading to the deployment of a remote access trojan (RAT).
— Microsoft Threat Intelligence (@MsftSecIntel) February 26, 2026
A malicious downloader… pic.twitter.com/87Yum5y78z
Um dos domínios listados no script inclui o powercatdog, que remove traços do downloader original e adiciona exceções no Microsoft Defender para que os componentes RAT não sejam atacados pelo antivírus nativo. Com gerenciamento da inicialização do Windows e programação de tarefas, um script chamado word.vbs garante que o programa hacker rode toda vez que o computador é ligado.
Segundo a Microsoft, o Defender já foi atualizado e consegue detectar o malware e os comportamentos usados na campanha, mas a empresa ainda recomenda que usuários monitorem o tráfego de saída da máquina e bloqueiem conexões aos domínios e IPs listados nos indicadores de comprometimento (verifique o comunicado da Microsoft para saber mais).
Caso você jogue no seu computador Windows, tenha cuidado ao baixar quaisquer ferramentas compartilhadas em grupos, chats ou locais que prometam atalhos, vantagens e afins: a chance de conterem malwares escondidos sob nomes familiares é bem grande. Confie apenas em sites oficiais e evite páginas clandestinas.
Leia também:
- Novo golpe usa IA para gerar comprovante falso de Pix; bancos não devolvem valor
- Justiça condena Bradesco por golpe da falsa central de atendimento
- Seu IP na cena do crime: o perigo invisível do proxyware
Leia a matéria no Canaltech.