Campanha de phishing usa Amnesia RAT e ransomware na Rússia
Campanha de phishing de múltiplas etapas está mirando usuários russos, mesclando o trojan de acesso remoto Amnesia RAT e um ransomware baseado na família Hakuna Matata para driblar o Microsoft Defender, segundo a Fortinet.
Como o ataque se desenrola
De acordo com a análise técnica da FortiGuard Labs, o golpe começa com lures de engenharia social: arquivos de negócios que parecem rotineiros. Dentro do ZIP há documentos de isca e um atalho do Windows (LNK) denominado “*.txt.lnk”, truque comum para enganar o usuário.
Ao clicar, um comando PowerShell baixa outro script hospedado no GitHub. Esse carregador de primeira etapa oculta a janela do PowerShell, abre um documento falso para distrair a vítima e envia um alerta ao criminoso via API do Telegram — tudo sem tocar no antivírus.
Depois de 444 segundos, um script VB altamente ofuscado monta o próximo estágio direto na memória, evitando rastros em disco. Entre as ações:
- Desabilitar componentes do Microsoft Defender e registrar um antivírus falso com a ferramenta defendnot;
- Capturar tela a cada 30 segundos com módulo .NET e enviar via Telegram;
- Alterar chaves de registro para bloquear ferramentas administrativas;
- Redirecionar extensões de arquivos a mensagens que pedem contato com o atacante.
Com o terreno livre, o script baixa do Dropbox o Amnesia RAT (svchost.scr). A praga rouba credenciais de navegadores, carteiras de criptomoedas, Discord, Steam e Telegram, além de permitir execução de comandos, captura de webcam e áudio.
Por fim, o ransomware cifra documentos, imagens e códigos-fonte, finaliza processos que possam impedi-lo e troca endereços de carteira no clipboard para desviar criptomoedas. A infecção termina com um WinLocker, bloqueando o acesso ao sistema.
Imagem: Internet
Fortinet ressalta que a campanha aproveita serviços em nuvem públicos — GitHub para scripts e Dropbox para binários —, tornando a derrubada dos arquivos mais difícil e fortalecendo a resiliência do ataque. O relatório completo pode ser conferido no The Hacker News, portal de referência em cibersegurança.
Por que importa para gamers e profissionais
Para quem joga em PCs de alto desempenho ou trabalha em home-office, manter a integridade do sistema é crucial. Um RAT como o Amnesia consegue monitorar teclas, pegar capturas de tela durante partidas competitivas — impactando privacidade e desempenho — e até roubar credenciais da Steam, arriscando inventários valiosos de skins.
Além disso, o ransomware pode criptografar projetos de programação, documentos de trabalho e bibliotecas de jogos, resultando em perda de dados ou custos de resgate. A Microsoft recomenda habilitar o recurso Tamper Protection no Windows Security, manter backups offline e desconfiar de anexos que usem duplas extensões “.txt.lnk”.
Fique atento a anexos suspeitos e mantenha seu antivírus atualizado. Para mais análises e dicas sobre segurança e performance no dia a dia, visite nossa editoria de tecnologia e continue protegido.
Crédito da imagem: Fortinet Fonte: Fortinet
