Pesquisadores da Fortinet descobriram uma campanha de malware em múltiplas etapas direcionada a sistemas Windows que começa com a desativação do Windows Defender, permitindo que outras cargas maliciosas sejam executadas sem detecção. A cadeia de infecção evolui rapidamente e culmina com a instalação de ransomware e ferramentas de acesso remoto, comprometendo totalmente os dispositivos das vítimas.
O ataque tem início com um e-mail de phishing que induz o usuário a baixar e executar um arquivo malicioso, geralmente camuflado como um documento inofensivo. Ao ser aberto, o malware inicia uma sequência de comandos que alteram configurações do sistema operacional e desabilitam o mecanismo de proteção nativo do Windows, o Microsoft Defender. Com a defesa comprometida, os operadores conseguem seguir com a instalação de novos módulos maliciosos. Essa campanha se destaca por seu uso de plataformas legítimas como GitHub e Dropbox para hospedar e distribuir as cargas secundárias. Um dos primeiros componentes a ser baixado é um loader, responsável por decodificar scripts e comandos adicionais.
Em seguida, são instalados trojans de acesso remoto (RATs), capazes de monitorar o sistema, exfiltrar dados e abrir portas para comandos externos. Na fase final da operação, é implantado um ransomware que criptografa os arquivos do usuário e exibe uma nota de resgate exigindo pagamento em criptomoedas. Além disso, os analistas identificaram técnicas de evasão como injeção de código, uso de PowerShell ofuscado e persistência por meio de tarefas agendadas e alterações no registro do Windows. O ataque tem como alvo principal usuários da Rússia, mas os métodos utilizados são generalizáveis e podem facilmente ser adaptados para atingir outras regiões. A modularidade e o uso de ferramentas legítimas dificultam a detecção por soluções tradicionais de segurança, o que aumenta a eficácia da campanha. Os ataques também demonstram o foco dos operadores em driblar as proteções padrão do Windows com rapidez e precisão.
