Uma operação cibercriminosa de ransomware, nomeada Hakuna Matata, está infectando sistemas operacionais Windows por meio de documentos empresariais aparentemente inofensivos. Acionados, eles desencadeiam ataques em quatro etapas, permitindo vigilância dos dispositivos e roubo de dados financeiros.
A ameaça, identificada por analistas da Fortinet, abusa exclusivamente de funcionalidades legítimas do Windows, ferramentas administrativas nativas e plataformas de nuvem pública como GitHub, Dropbox e Telegram para permanecer invisível dentro do tráfego corporativo normal.
O ataque combina o ransomware Hakuna Matata, trojan bancário Amnesia RAT e ferramentas de bloqueio total do sistema em uma única campanha coordenada que desativa sistematicamente todas as defesas antes de executar cargas destrutivas.
Como funciona a cadeia de infecção
A invasão começa com arquivos compactados contendo atalhos LNK maliciosos disfarçados como documentos contábeis corporativos. Quando a vítima executa o arquivo acreditando que é uma planilha legítima, o atalho inicia o PowerShell usando um desvio da política de execução, baixando silenciosamente um script ofuscado hospedado no GitHub.
O carregador de primeira fase estabelece persistência no sistema, gera documentos falsos para distrair o usuário e inicia comunicação com os invasores através da API do Telegram Bot, confirmando o sucesso da infecção inicial. Essa abordagem reduz a probabilidade de detecção baseada em assinatura, já que todo o tráfego parece completamente legítimo.
Os pesquisadores da Fortinet identificaram o malware após descobrirem os mecanismos de evasão incorporados em toda a cadeia de ataque, especialmente o abuso operacional do Defendnot.
Defendnot neutraliza Microsoft Defender antes do ataque
Um componente crítico dessa campanha é o reaproveitamento do Defendnot, uma ferramenta de pesquisa originalmente projetada para demonstrar vulnerabilidades do Windows Security Center. Os criminosos transformaram essa ferramenta legítima em arma para desativar sistematicamente o Microsoft Defender.
O Defendnot registra um produto antivírus falso no sistema e explora as suposições de confiança do Windows para forçar o desligamento automático do Defender. O sistema operacional, ao detectar outro antivírus “instalado”, desativa suas próprias proteções para evitar conflitos, deixando a máquina vulnerável.
Com as defesas neutralizadas, a campanha progride por meio de quatro fases operacionais distintas.
Malware opera em quatro fases destrutivas
Após desativar o Microsoft Defender, o malware inicia imediatamente a neutralização defensiva, desabilitando ferramentas administrativas críticas, destruindo pontos de restauração do sistema e sequestrando associações de arquivos.
Essas ações impedem que a vítima execute aplicativos legítimos, acesse ferramentas de recuperação ou restaure o sistema para estado anterior.
A segunda etapa do ataque consiste em reconhecimento e vigilância ativa, onde a campanha implanta módulos de captura de tela que extraem evidências visuais da atividade do usuário.
Essas ferramentas monitoram continuamente o que a vítima faz no computador, identificando dados sensíveis, credenciais e informações financeiras para extração posterior.
Na sequência, os invasores implementam um bloqueio abrangente do sistema através de restrições que impedem completamente o uso normal do computador. O WinLocker bloqueia totalmente o sistema operacional, exibindo temporizadores de contagem regressiva que pressionam psicologicamente as vítimas a entrarem em contato com os criminosos para negociação de resgate.
A fase final coordena simultaneamente o roubo de dados e a criptografia de arquivos. O Amnesia RAT estabelece acesso remoto persistente e extrai credenciais armazenadas em navegadores, carteiras de criptomoedas e informações bancárias.
Isso ocorre enquanto o ransomware Hakuna Matata criptografa todos os arquivos do usuário, adicionando a extensão “NeverMind12F” e tornando os dados inacessíveis sem a chave de descriptografia controlada pelos atacantes.
Abuso de plataformas legítimas dificulta detecção
A sofisticação técnica dessa campanha está na exploração inteligente de ferramentas e serviços completamente legítimos. Ao hospedar scripts maliciosos no GitHub, usar Dropbox para distribuição de cargas e comunicar-se através da API do Telegram Bot, os criminosos misturam tráfego malicioso com atividades corporativas normais.
Sistemas de detecção tradicionais baseados em assinatura têm dificuldade em identificar essas ameaças, já que todas as conexões de rede parecem acessos legítimos a plataformas amplamente usadas por empresas em todo o mundo. O PowerShell, ferramenta administrativa nativa do Windows, executa todo o processo inicial sem acionar alertas de segurança.
Essa abordagem de “viver da terra” (Living off the Land) permite que os atacantes permaneçam ocultos por períodos prolongados, ampliando o impacto através de comprometimento sustentado antes que as vítimas percebam qualquer atividade suspeita.
Como se proteger da ameaça
Especialistas recomendam as seguintes medidas de proteção para evitar essa campanha tão difícil de identificar.
- Desconfie de documentos inesperados: nunca abra arquivos compactados ou documentos empresariais recebidos de fontes não verificadas, mesmo que pareçam legítimos. Confirme sempre com o remetente através de canal separado antes de extrair ou executar qualquer arquivo;
- Monitore comportamentos anômalos: bateria de laptop drenando rapidamente, ventiladores operando constantemente, lentidão inexplicável ou processos desconhecidos no Gerenciador de Tarefas podem indicar malware executando em segundo plano;
- Mantenha backups offline: armazene cópias de segurança de arquivos críticos em dispositivos desconectados da rede. Ransomware não pode criptografar backups que não estão acessíveis online no momento do ataque;
- Use soluções de segurança multicamadas: confie em proteções além do antivírus tradicional, incluindo firewalls, detecção comportamental e monitoramento de rede. O Microsoft Defender sozinho mostrou-se insuficiente contra essa campanha que o neutraliza sistematicamente;
- Implemente políticas de execução restritas: configure o PowerShell e outras ferramentas administrativas para exigir assinaturas digitais válidas antes de executar scripts. Essa medida dificulta significativamente ataques que dependem de desvios de política de execução.
Acompanhe o TecMundo nas redes sociais. Inscreva-se em nosso canal do YouTube e newsletter para mais notícias de segurança e tecnologia.