A equipe do Netskope Threat Labs identificou uma nova campanha de ciberataques que usa sites falsos para distribuir instaladores maliciosos de softwares amplamente utilizados, como o WPS Office (alternativa popular ao Microsoft Office), o buscador chinês Sogou e o DeepSeek, ferramenta de GenAI que já conta com mais de 2 milhões de seus usuários no Brasil.
Ao parecerem legítimos, esses arquivos enganam os usuários e instalam, sem o conhecimento das vítimas, uma combinação perigosa de softwares maliciosos. A ferramenta de acesso remoto Sainbox RAT (variação do Gh0stRAT) e um rootkit oculto, um tipo de programa que se esconde no sistema para impedir a detecção por antivírus e dificultar a identificação de atividades suspeitas.
As páginas e arquivos utilizados estavam escritos em chinês, indicando que o alvo principal da campanha são usuários nativos ou familiarizados com o idioma. A operação foi atribuída com confiança média ao grupo Silver Fox, que estaria baseado na China, com base nas táticas utilizadas e no alvo de vítimas.
“Essa campanha mostra como cibercriminosos seguem explorando softwares populares e o interesse por soluções com inteligência artificial para aplicar golpes sofisticados e silenciosos”, explica Leandro Fróes, pesquisador do Netskope Threat Labs. “Ao embutir códigos maliciosos em instaladores aparentemente legítimos, eles dificultam a detecção por ferramentas tradicionais e ganham controle total sobre os dispositivos infectados.”
Entre os principais riscos estão o roubo de dados confidenciais, o download remoto de novas ameaças e o uso de técnicas avançadas para esconder arquivos, processos e registros. A persistência da ameaça é garantida pela modificação do registro do sistema, o que permite que o programa malicioso seja executado automaticamente sempre que o computador for ligado.
A campanha usa como base o malware Sainbox RAT, um derivado do conhecido Gh0stRAT, e um rootkit baseado no projeto open-source Hidden, que atua no núcleo do sistema operacional para ocultar a atividade dos invasores.
Confira mais detalhes técnicos no blog do Netskope Threat Labs.
