Vírus imita programa da NVIDIA para invadir e roubar PCs

Wait 5 sec.

Pesquisadores de cibersegurança da empresa Blackpoint Cyber descobriram uma nova ameaça digital batizada de LabubaRAT. Esse é um vírus que se disfarça de uma ferramenta da fabricante de placas de vídeo NVIDIA para invadir sistemas corporativos, assumir o controle remoto das máquinas e roubar dados.Como o nome já indica, o Labuba é um RAT, ou seja, um Cavalo de Troia de Acesso Remoto. Esse é um tipo de malware comum no mundo do cibercrime e conta com características muito perigosas. Softwares como esse permitem que um invasor opere o computador da vítima à distância, com acesso completo aos arquivos e processos do sistema.O que chama a atenção é como o malware é distribuído por um executável que usa o nome da Nvidia, chamado “nvidia-sysruntime.exe”. Apesar disso, a Nvidia não possui nenhuma relação direta com esse golpe e seus softwares estão livres de vírus. Os atacantes apenas utilizaram o nome da empresa.O relatório da Blackpoint não detalha exatamente como o LabubaRAT é distribuído na internet, somente o seu método de execução e comportamento. Esse nome foi atribuído ao malware por conta da interface de comando utilizada pelos hackers, que exibia o título "LabubaPanel" e a imagem do brinquedo chamado Labubu.Painel dos cibercriminosos literalmente fazia referência aos Labubus (Imagem: Blackpoint Security/reprodução)Uma vez instalado na máquina, o LabubaRAT pode capturar a tela do usuário, copiar documentos confidenciais, baixar arquivos da rede e carregar novas ferramentas maliciosas para dentro da máquina. Com as devidas permissões, esse RAT pode até controlar partes do sistema da vítima.Dissecando o LabubaRATPor fora, o LabubaRAT se esconde como uma aplicação da NVIDIA, diretamente relacionada ao Nvidia Container Runtime Monitor. Por dentro, o programa é construído em Rust, uma linguagem de programação moderna que gera códigos complexos e rápidos. Essa é uma linguagem presente em diversos malwares recentes.O documento da Blackpoint Cyber cita que diferente de outros vírus, ele recebe suas instruções no momento em que é ativado, via comandos de texto. Isso é feito por meio de um script empacotado em um bloco de texto codificado. Dessa forma, o mesmo arquivo pode ser usado em campanhas totalmente diferentes, enganando as defesas do sistema.Após a ativação, o vírus cria um pequeno banco de dados oculto no disco para guardar suas configurações. Antes de agir, ele vasculha o computador em busca de um recurso chamado “estado do controle de usuário” (UAC) e identifica quais navegadores e ferramentas de segurança estão instalados, como softwares da Kaspersky, CrowdStrike, etc.Metadados com temas da Nvidia e resquícios de linguagem Rust entregaram o golpe aos pesquisadores (Imagem: Blackpoint Security/reprodução)O RAT começa a estabelecer três canais de comunicação com os hackers. Ele usa tráfego padrão de sites, por meio do protocolo HTTPS, e um canal escondido por meio de processos de navegadores (WebView2). Caso a segurança do sistema bloqueie esses dois, há um terceiro canal feito por meio de requisições falsas de internet.Quando finalmente o atacante resolve rodar seus comandos maliciosos, o LabubaRAT cria pequenos scripts temporários, escritos em JavaScript, e os executa de forma silenciosa. Para se manter no sistema após o PC ser desligado, ele se infiltra no registro de inicialização do Windows do próprio usuário.Como as empresas podem se proteger?A Blackpoint indica que a a utilização de sistemas de detecção e resposta pode ser usada para interceptar programas que afirmam ser empresas, como a Nvidia, mas não possuem certificado digital atrelado. Monitorar e alertar execuções de arquivos desconhecidos também é um passo importante.Como a empresa não cita a distribuição do LabubaRAT e ele se disfarça de app da Nvidia, é fácil assumir que ele está disponível para download em fóruns e anúncios falsos. Para o usuário comum, é importante baixar arquivos somente no site oficial das fabricantes.Por falar em malwares, um hacker criou quase 300 repositórios falsos no GitHub para espalhar arquivos maliciosos que se passavam por softwares legítimos. Siga o TecMundo no X, Instagram, Facebook e YouTube e assine a nossa newsletter para receber as principais notícias e análises diretamente no seu e-mail.