Um novo tipo de ataque que utiliza o malware RoKRAT está chamando atenção pela sutileza. Ele transforma imagens aparentemente inofensivas em portas de entrada para roubo de dados, documentos e carteiras de criptomoedas. O golpe está ligado ao grupo hacker APT37, conhecido por campanhas direcionadas e altamente elaboradas.
O ataque começa com um e-mail falso, cuidadosamente elaborado para enganar a vítima. Essa técnica é chamada de spear phishing, quando o criminoso finge ser alguém confiável e envia mensagens personalizadas, normalmente com um anexo ou link.
Ao baixar o arquivo ZIP (formato compactado que pode conter vários arquivos), a vítima encontra um atalho (.LNK) que parece ser um documento comum. Mas, ao clicar, um comando escondido é executado silenciosamente, abrindo uma janela de comandos (PowerShell) que inicia o carregamento do vírus.
☠️ Como o vírus age por dentro
O malware RoKRAT é um tipo de programa malicioso que consegue roubar informações do computador sem ser notado. Ele se injeta em aplicativos legítimos do Windows, como o próprio MSPaint (programa de desenho), para evitar ser detectado por antivírus.
Esse processo é conhecido como injeção de código. O vírus se instala dentro de outro programa, como se fosse parte dele. Dessa forma, passa despercebido por muitas ferramentas de segurança.
Depois disso, o RoKRAT começa a agir:
- Rastreia e copia documentos e imagens
- Tira capturas de tela (screenshots)
- Acessa arquivos em nuvens como Dropbox
- Rouba credenciais salvas no navegador
- E, claro, vasculha qualquer informação sobre carteiras de criptomoedas
Ao invés de enviar os dados roubados para servidores próprios, os criminosos usam serviços comuns como Dropbox e Yandex Disk. Isso dificulta a identificação, pois essas plataformas são populares e geralmente não são bloqueadas em empresas.
🛡️ Como se proteger (de verdade)
Como esse tipo de ataque passa facilmente por antivírus tradicionais, só “manter tudo atualizado” não basta. Aqui vão medidas mais eficientes:
- Use antivírus com proteção comportamental (EDR)
A maioria dos antivírus comuns só identifica vírus por “assinatura”, ou seja, se ele já for conhecido. No caso do RoKRAT, o código se esconde dentro de aplicativos legítimos como o Paint.
Solução: use um antivírus com EDR (Endpoint Detection and Response), que detecta comportamentos suspeitos, como um app do Windows tentando acessar a nuvem ou registrar teclas.
- Ative a visualização de extensões de arquivo
Por padrão, o Windows esconde as extensões reais dos arquivos, permitindo que um atalho malicioso chamado fatura.pdf.lnk pareça um documento inofensivo.
Solução: ative a exibição de extensões no Explorador de Arquivos. Assim, você saberá se está abrindo um .LNK, .EXE ou algo disfarçado.
- Nunca abra ZIPs diretamente do e-mail
Mesmo quando o e-mail parece confiável, baixe o arquivo, escaneie manualmente com antivírus e abra em um ambiente isolado, como uma máquina virtual ou sandbox.
- Use uma VM (máquina virtual) para atividades de risco
Se você trabalha com arquivos desconhecidos, analisa documentos de terceiros ou mexe com criptomoedas, considere fazer isso em uma máquina virtual separada. É uma forma de “conter o estrago” caso algo fuja do controle.
- Bloqueie scripts PowerShell para usuários comuns
Boa parte dos ataques usa o PowerShell para executar comandos maliciosos. Desabilitar esse recurso para usuários que não precisem dele pode cortar o ataque pela raiz.
🔗 Leia também:
Solana despenca 13% em 7 dias: veja o que esperar agora
Por que o mercado de criptomoedas despenca mesmo sem notícia ruim?
O que é o Lean Ethereum e por que ele pode mudar tudo
Fique por dentro das notícias mais quentes do mercado cripto: entre no nosso canal no WhatsApp.
