Malware disfarçado em DeepSeek e WPS Office

Malware disfarçado em DeepSeek e WPS Office sugere volta do grupo Silver Fox 

A equipe do Netskope Threat Labs identificou uma nova campanha de ciberataques que usa sites falsos para distribuir instaladores maliciosos de softwares amplamente utilizados, como o WPS Office (alternativa popular ao Microsoft Office), o buscador chinês Sogou e o DeepSeek, ferramenta de GenAI que já conta com mais de 2 milhões de seus usuários no Brasil. 

Ao parecerem legítimos, esses arquivos enganam os usuários e instalam, sem o conhecimento das vítimas, uma combinação perigosa de softwares maliciosos. A ferramenta de acesso remoto Sainbox RAT (variação do Gh0stRAT) e um rootkit oculto, um tipo de programa que se esconde no sistema para impedir a detecção por antivírus e dificultar a identificação de atividades suspeitas. 

As páginas e arquivos utilizados estavam escritos em chinês, indicando que o alvo principal da campanha são usuários nativos ou familiarizados com o idioma. A operação foi atribuída com confiança média ao grupo Silver Fox, que estaria baseado na China, com base nas táticas utilizadas e no alvo de vítimas. 

“Essa campanha mostra como cibercriminosos seguem explorando softwares populares e o interesse por soluções com inteligência artificial para aplicar golpes sofisticados e silenciosos”, explica Leandro Fróes, pesquisador do Netskope Threat Labs. “Ao embutir códigos maliciosos em instaladores aparentemente legítimos, eles dificultam a detecção por ferramentas tradicionais e ganham controle total sobre os dispositivos infectados.” 

Entre os principais riscos estão o roubo de dados confidenciais, o download remoto de novas ameaças e o uso de técnicas avançadas para esconder arquivos, processos e registros. A persistência da ameaça é garantida pela modificação do registro do sistema, o que permite que o programa malicioso seja executado automaticamente sempre que o computador for ligado. 

A campanha usa como base o malware Sainbox RAT, um derivado do conhecido Gh0stRAT, e um rootkit baseado no projeto open-source Hidden, que atua no núcleo do sistema operacional para ocultar a atividade dos invasores. 

Veja também:

• O impacto da inteligência artificial na segurança eletrônica
• Webinar: Você realmente sabe o que acontece dentro da sua rede?
• Invasão de conta e roubo de criptomoedas
• Ataques de Phishing se sofisticam
• Cibercriminosos criam site falso que imita o CapCut
• Além das senhas fortes: Lições que os vazamentos trouxeram
• Computação quântica e aumento de vazamentos reacendem debate sobre segurança
• Brasil está entre os dez países com mais ameaças de malware
• Ausência de legislação agrava crise da cibersegurança no Brasil
• Transportadoras enfrentam onda sem precedente de golpes
• Pentest contínuo é estratégia na prevenção de ataques cibernéticos
• por que a proteção ainda é vista como despesa no setor financeiro?