{"id":14489,"date":"2026-01-14T16:09:33","date_gmt":"2026-01-14T19:09:33","guid":{"rendered":"https:\/\/fenati.org.br\/?p=14489"},"modified":"2026-01-15T10:05:14","modified_gmt":"2026-01-15T13:05:14","slug":"malware-windows-controlar-computadores-distancia","status":"publish","type":"post","link":"https:\/\/fenati.org.br\/en\/malware-windows-controlar-computadores-distancia\/","title":{"rendered":"Novo malware explora recursos do Windows para controlar computadores \u00e0 dist\u00e2ncia"},"content":{"rendered":"<p><strong>Windows &#8211;<\/strong> Uma nova campanha de malware, identificada como SHADOW#REACTOR, est\u00e1 sendo usada para instalar de forma silenciosa um <a href=\"https:\/\/pt.wikipedia.org\/wiki\/Cavalo_de_troia_(computa%C3%A7%C3%A3o)\" rel=\"nofollow noopener\" target=\"_blank\">trojan<\/a> de acesso remoto (RAT) conhecido como Remcos, capaz de conceder controle total dos dispositivos comprometidos aos invasores. A estrat\u00e9gia se baseia em t\u00e9cnicas de engenharia social, como e-mails e mensagens fraudulentas, que induzem as v\u00edtimas a clicar em links maliciosos.<\/p>\n<p>A ofensiva foi descoberta pela empresa de seguran\u00e7a Securonix e tem in\u00edcio quando o usu\u00e1rio interage com um link enviado por e-mail ou mensagem. Esse primeiro clique aciona a execu\u00e7\u00e3o de um script Visual Basic altamente ofuscado, chamado &#8220;win64.vbs&#8221;, por meio do wscript.exe \u2014 um componente leg\u00edtimo do sistema operacional Windows. A partir da\u00ed, o ataque prepara o ambiente para as fases seguintes da infec\u00e7\u00e3o.<\/p>\n<p><a href=\"https:\/\/fenati.org.br\/en\/golpes-multiplicam-ferias-tecnologia-aliada\/\"><strong>LEIA: Golpes se multiplicam nas f\u00e9rias e tecnologia vira aliada de viajantes<\/strong><\/a><\/p>\n<p>Ap\u00f3s ser iniciado, o script VBS carrega e executa um comando PowerShell codificado em Base64, t\u00e9cnica adotada para dificultar a inspe\u00e7\u00e3o e a an\u00e1lise do c\u00f3digo malicioso.<\/p>\n<p>Na sequ\u00eancia, o PowerShell estabelece comunica\u00e7\u00e3o com um servidor remoto sob controle dos atacantes utilizando o System.Net.WebClient. A partir dessa conex\u00e3o, s\u00e3o baixados arquivos de texto aparentemente inofensivos, denominados &#8220;qpwoe64.txt&#8221; ou &#8220;qpwoe32.txt&#8221;, de acordo com a arquitetura do sistema (64 ou 32 bits). Esses arquivos s\u00e3o armazenados no diret\u00f3rio tempor\u00e1rio do Windows.<\/p>\n<h4>T\u00e9cnicas dificultam detec\u00e7\u00e3o<\/h4>\n<p>Um dos diferenciais dessa campanha \u00e9 a presen\u00e7a de um mecanismo de verifica\u00e7\u00e3o e autorrecupera\u00e7\u00e3o. Depois do download, o script entra em um ciclo de valida\u00e7\u00e3o que checa se o arquivo existe e se atende a um tamanho m\u00ednimo esperado.<\/p>\n<p>Caso o arquivo n\u00e3o esteja presente ou esteja incompleto, o malware interrompe temporariamente a execu\u00e7\u00e3o e tenta realizar o download novamente. Mesmo quando o tempo limite \u00e9 excedido, o processo n\u00e3o \u00e9 encerrado abruptamente, o que reduz falhas na cadeia de infec\u00e7\u00e3o e revela um planejamento cuidadoso e resiliente.<\/p>\n<p>Quando o arquivo de texto atende aos crit\u00e9rios estabelecidos, o ataque avan\u00e7a para a cria\u00e7\u00e3o de um segundo script PowerShell, chamado &#8220;jdywa.ps1&#8221;, tamb\u00e9m gravado no diret\u00f3rio tempor\u00e1rio do sistema.<\/p>\n<p>Esse novo script \u00e9 respons\u00e1vel por acionar um carregador protegido pela ferramenta .NET Reactor, uma solu\u00e7\u00e3o comercial amplamente usada para ofusca\u00e7\u00e3o de c\u00f3digo.<\/p>\n<h4>Ferramentas leg\u00edtimas se tornam armas<\/h4>\n<p>O carregador executado desempenha fun\u00e7\u00f5es essenciais para o sucesso do ataque, como garantir persist\u00eancia no sistema, buscar os pr\u00f3ximos est\u00e1gios do malware e realizar diversas verifica\u00e7\u00f5es antidepura\u00e7\u00e3o e antim\u00e1quina virtual, com o objetivo de escapar de ambientes de an\u00e1lise e sandboxes de seguran\u00e7a.<\/p>\n<p>A fase final da campanha recorre \u00e0 t\u00e9cnica conhecida como &#8220;living-off-the-land&#8221;, na qual ferramentas leg\u00edtimas do pr\u00f3prio sistema operacional s\u00e3o exploradas para conduzir a\u00e7\u00f5es maliciosas.<\/p>\n<p>Nesse caso, os invasores utilizam o MSBuild.exe, uma ferramenta oficial da Microsoft destinada \u00e0 compila\u00e7\u00e3o de aplica\u00e7\u00f5es, para iniciar a execu\u00e7\u00e3o do Remcos RAT no computador infectado. Al\u00e9m disso, scripts adicionais s\u00e3o criados para reativar periodicamente o script VBS inicial, assegurando que o malware continue ativo mesmo que alguns de seus componentes sejam interrompidos.<\/p>\n<p>De acordo com os pesquisadores, trata-se de uma campanha ampla e oportunista, com foco especial em ambientes corporativos, incluindo pequenas e m\u00e9dias empresas.<\/p>\n<p>As t\u00e9cnicas empregadas s\u00e3o t\u00edpicas de corretores de acesso inicial \u2013 cibercriminosos especializados em comprometer sistemas e comercializar esse acesso posteriormente para outros grupos, que podem conduzir ataques mais sofisticados, como ransomware ou roubo de informa\u00e7\u00f5es.<\/p>\n<p>O elemento mais incomum e avan\u00e7ado dessa opera\u00e7\u00e3o est\u00e1 no uso de est\u00e1gios intermedi\u00e1rios baseados exclusivamente em texto simples, combinados com a reconstru\u00e7\u00e3o din\u00e2mica de c\u00f3digo malicioso diretamente na mem\u00f3ria por meio do PowerShell, al\u00e9m da utiliza\u00e7\u00e3o de um carregador reflexivo protegido pelo .NET Reactor.<\/p>\n<p>Toda a arquitetura foi desenhada para dificultar significativamente a detec\u00e7\u00e3o por antiv\u00edrus, atrapalhar o trabalho de analistas de seguran\u00e7a e contornar sistemas automatizados de an\u00e1lise de malware. A estrutura modular e bem-organizada indica que n\u00e3o se trata de uma a\u00e7\u00e3o amadora, mas de uma opera\u00e7\u00e3o profissional, sustentada por recursos e conhecimento t\u00e9cnico avan\u00e7ado.<\/p>\n<h4>Como se proteger<\/h4>\n<p>A Securonix aponta uma s\u00e9rie de medidas que podem reduzir o risco de infec\u00e7\u00e3o por esse tipo de amea\u00e7a:<\/p>\n<p>* Reforce a conscientiza\u00e7\u00e3o dos usu\u00e1rios sobre ataques baseados em scripts;<br \/>\n* Oriente colaboradores sobre os perigos de executar scripts baixados, alertando para arquivos inesperados, falsas mensagens de atualiza\u00e7\u00e3o ou documentos provenientes de fontes n\u00e3o confi\u00e1veis;<br \/>\n* Restrinja ou monitore a execu\u00e7\u00e3o de scripts VBS, JS e PowerShell, especialmente aqueles originados de diret\u00f3rios grav\u00e1veis pelo usu\u00e1rio, como %TEMP%, cache do navegador ou pastas de download;<br \/>\n* Certifique-se de que solu\u00e7\u00f5es de EDR consigam identificar comportamentos suspeitos de interpretadores de scripts, incluindo cadeias an\u00f4malas de processos como wscript.exe \u2192 powershell.exe \u2192 msbuild.exe e padr\u00f5es de carregamento reflexivo de assemblies .NET;<br \/>\n* Ative logs avan\u00e7ados do PowerShell, como ScriptBlock logging, Module logging e auditoria de linha de comando, para detectar atividades de reconstru\u00e7\u00e3o de payloads altamente ofuscados em m\u00faltiplas etapas;<br \/>\n* Busque ativamente sinais de abuso de bin\u00e1rios confi\u00e1veis, como wscript.exe, powershell.exe, mshta.exe e MSBuild.exe, sobretudo quando executados a partir de caminhos n\u00e3o padronizados ou em contextos de usu\u00e1rio incomuns;<br \/>\n* Monitore a cria\u00e7\u00e3o de atalhos suspeitos na pasta de Inicializa\u00e7\u00e3o, tarefas agendadas e execut\u00e1veis aparentemente inofensivos gravados em %TEMP%, ProgramData ou diret\u00f3rios de perfil de usu\u00e1rio.<\/p>\n<p><em><strong>(Com informa\u00e7\u00f5es de Converg\u00eancia Digital)<\/strong><\/em><br \/>\n<em><strong>(Foto: Reprodu\u00e7\u00e3o\/Freepik\/DC Studio)<\/strong><\/em><\/p>","protected":false},"excerpt":{"rendered":"<p>Campanha usa m\u00faltiplas camadas de ofusca\u00e7\u00e3o e ferramentas nativas do sistema para driblar solu\u00e7\u00f5es de seguran\u00e7a<\/p>","protected":false},"author":11,"featured_media":14490,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[35],"tags":[13],"class_list":["post-14489","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-ti","tag-sindical"],"_links":{"self":[{"href":"https:\/\/fenati.org.br\/en\/wp-json\/wp\/v2\/posts\/14489","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/fenati.org.br\/en\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/fenati.org.br\/en\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/fenati.org.br\/en\/wp-json\/wp\/v2\/users\/11"}],"replies":[{"embeddable":true,"href":"https:\/\/fenati.org.br\/en\/wp-json\/wp\/v2\/comments?post=14489"}],"version-history":[{"count":1,"href":"https:\/\/fenati.org.br\/en\/wp-json\/wp\/v2\/posts\/14489\/revisions"}],"predecessor-version":[{"id":14491,"href":"https:\/\/fenati.org.br\/en\/wp-json\/wp\/v2\/posts\/14489\/revisions\/14491"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/fenati.org.br\/en\/wp-json\/wp\/v2\/media\/14490"}],"wp:attachment":[{"href":"https:\/\/fenati.org.br\/en\/wp-json\/wp\/v2\/media?parent=14489"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/fenati.org.br\/en\/wp-json\/wp\/v2\/categories?post=14489"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/fenati.org.br\/en\/wp-json\/wp\/v2\/tags?post=14489"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}