{"id":23877,"date":"2026-01-17T08:00:00","date_gmt":"2026-01-17T11:00:00","guid":{"rendered":"https:\/\/www.ethicalhacker.com.br\/site\/?p=23877"},"modified":"2026-01-13T12:16:04","modified_gmt":"2026-01-13T15:16:04","slug":"s-17","status":"publish","type":"post","link":"https:\/\/www.ethicalhacker.com.br\/site\/2026\/01\/exploits\/s-17\/","title":{"rendered":"Nova campanha de malware amea\u00e7a ambientes Windows"},"content":{"rendered":"\n

SHADOW#REACTOR: Entendendo a nova campanha de malware que amea\u00e7a ambientes Windows<\/strong><\/p>\n

Nos \u00faltimos anos, o universo das amea\u00e7as cibern\u00e9ticas evoluiu de forma acelerada, e 2026 n\u00e3o \u00e9 diferente<\/strong>. Recentemente foi identificada uma campanha complexa de malware batizada de SHADOW#REACTOR<\/strong>, projetada para infectar dispositivos com Microsoft Windows atrav\u00e9s de uma cadeia de ataque multif\u00e1sica e altamente furtiva. Esta campanha representa um salto qualitativo nas t\u00e9cnicas de invas\u00e3o adotadas por criminosos \u2014 combinando engenharia social, abuso de ferramentas leg\u00edtimas do sistema e evas\u00e3o de an\u00e1lise din\u00e2mica \u2014 e refor\u00e7a a necessidade de abordagens avan\u00e7adas de defesa em ambientes corporativos e residenciais.<\/p>\n

\u00a0<\/p>\n

1. Vis\u00e3o geral do SHADOW#REACTOR<\/strong><\/p>\n

SHADOW#REACTOR \u00e9 uma opera\u00e7\u00e3o sofisticada que n\u00e3o depende de t\u00e9cnicas simples de entrega de malware \u2014 como anexos ZIP ou links maliciosos isolados \u2014 mas sim de uma sequ\u00eancia de componentes que, quando combinados, conseguem comprometer o sistema sem acionar alertas tradicionais de seguran\u00e7a.<\/p>\n

A campanha \u00e9 estruturada da seguinte maneira: primeiro, um stager<\/em> em Visual Basic Script (VBS), ofuscado e executado pelo processo leg\u00edtimo wscript.exe<\/strong>, serve como gatilho inicial. Este m\u00f3dulo, aparentemente inocente, age como um downloader prim\u00e1rio para o pr\u00f3ximo est\u00e1gio, que \u00e9 um script PowerShell tamb\u00e9m ofuscado.<\/p>\n

Este script PowerShell efetua a reconstru\u00e7\u00e3o din\u00e2mica de fragmentos de payload recebidos de um servidor remoto<\/strong>, evitando que assinaturas est\u00e1ticas sejam geradas facilmente por solu\u00e7\u00f5es de antiv\u00edrus. Em vez de baixar um \u00fanico arquivo execut\u00e1vel, ele baixa partes codificadas em texto e as junta em mem\u00f3ria, tornando quase imposs\u00edvel detectar o c\u00f3digo malicioso antes da execu\u00e7\u00e3o.<\/p>\n

\u00a0<\/p>\n

2. Abuso de LOLBins: Living-Off-the-Land Binaries<\/strong><\/p>\n

Uma das t\u00e1ticas mais preocupantes observadas na campanha \u00e9 o uso de LOLBins<\/strong> (bin\u00e1rios confi\u00e1veis do sistema usados para executar a\u00e7\u00f5es maliciosas). No caso do SHADOW#REACTOR, o MSBuild.exe<\/strong> \u2014 uma ferramenta leg\u00edtima do .NET usada para compila\u00e7\u00e3o \u2014 \u00e9 utilizada para ativar o Remote Access Trojan (RAT) conhecido como Remcos<\/strong>.<\/p>\n

Esse abuso de ferramentas leg\u00edtimas \u00e9 uma das estrat\u00e9gias modernas mais dif\u00edceis de detectar. Ferramentas de seguran\u00e7a frequentemente confiam em listas de processos confi\u00e1veis, e quando bin\u00e1rios leg\u00edtimos executam a\u00e7\u00f5es maliciosas, EDR (Endpoint Detection and Response)<\/em> e SIEM<\/em> precisam analisar o comportamento em um contexto mais amplo para identificar irregularidades.<\/p>\n

\u00a0<\/p>\n

3. Componentes t\u00edpicos de malware e RATs<\/strong><\/p>\n

Para contextualizar tecnicamente o que est\u00e1 em jogo, vale observar que campanhas de malware modernas, como a que envolve o Remcos ou outras variantes, seguem um padr\u00e3o comum:<\/p>\n