Pesquisadores do Netskope Threat Labs identificaram uma sofisticada campanha de ciberataques que utiliza sites falsos para disseminar instaladores maliciosos de softwares amplamente utilizados, como o WPS Office (alternativa popular ao Microsoft Office), o buscador chinês Sogou e a ferramenta de inteligência artificial DeepSeek, que já acumula mais de 2 milhões de usuários no Brasil.
Com aparência legítima, esses instaladores enganam os usuários e instalam silenciosamente uma combinação de softwares maliciosos, incluindo um malware de acesso remoto (Sainbox RAT) e um rootkit oculto, dificultando a detecção por antivírus e permitindo o controle total dos dispositivos comprometidos.
Disfarce sofisticado dificulta detecção por antivírus
A ameaça se destaca pela capacidade de se esconder no sistema operacional. O rootkit utilizado atua no núcleo do sistema e impede que antivírus ou ferramentas tradicionais detectem a presença maliciosa. A modificação do registro do sistema garante a persistência da infecção, ativando o malware sempre que o computador é ligado.
De acordo com os analistas, as páginas e arquivos utilizados estavam em chinês, indicando que o principal alvo da campanha são usuários nativos ou familiarizados com o idioma.
A campanha foi atribuída com confiança média ao grupo Silver Fox, grupo de cibercriminosos que, segundo os especialistas, estaria baseado na China. A associação se deu pelas táticas empregadas e pelo perfil das vítimas.
Grupo Silver Fox pode estar por trás da nova onda de ataques
“Essa campanha mostra como cibercriminosos seguem explorando softwares populares e o interesse por soluções com inteligência artificial para aplicar golpes sofisticados e silenciosos”, explica Leandro Fróes, pesquisador do Netskope Threat Labs. “Ao embutir códigos maliciosos em instaladores aparentemente legítimos, eles dificultam a detecção por ferramentas tradicionais e ganham controle total sobre os dispositivos infectados.”
Os principais riscos incluem roubo de dados sensíveis, download remoto de novas ameaças e uso de técnicas avançadas para ocultar arquivos, processos e registros. O ataque é baseado no malware Sainbox RAT, uma variação do conhecido Gh0stRAT, e em um rootkit derivado do projeto open-source Hidden.
Alerta para usuários e empresas
A descoberta serve como alerta para usuários e empresas que instalam softwares de fontes não oficiais. Ferramentas populares e soluções com inteligência artificial generativa continuam sendo alvos frequentes de ataques, uma vez que oferecem grande alcance e oportunidade para os invasores.
Para evitar infecções, os especialistas recomendam o uso de soluções avançadas de segurança, atenção redobrada à origem dos instaladores e a atualização constante dos sistemas.
