WPS Office e DeepSeek são usados como ‘iscas’ por hackers em novo ataque que rouba dados
Uma nova campanha maliciosa está usando versões falsas da suíte de apps WPS Office e da IA DeepSeek para disseminar malwares e roubar dados confidenciais. Conforme revelou o Netskope Threat Labs na quinta-feira (26), os ataques aparentemente estão ligados ao grupo chinês Silver Fox, que mira alvos no país asiático.
Também conhecidos como “Void Arachne”, os cibercriminosos baseados na China estiveram envolvidos em ataques cibernéticos contra redes de saúde no segundo semestre do ano passado. Métodos semelhantes aos utilizados por eles, em campanhas anteriores, foram identificados na atividade mais recente.
Leia também: Ataque hacker ao GOV.BR pode ter causado instabilidade no serviçoExemplo de site de phishing usado pelos cibercriminosos para atrair usuários do WPS Office. (Imagem: Netskope/Threat Labs/Reprodução)
Como os dispositivos são infectados?
De acordo com os pesquisadores de segurança responsáveis pela descoberta, os hackers criaram sites fraudulentos nos quais estão disponíveis versões modificadas de softwares populares. Além do programa alternativo ao Microsoft Office e da IA chinesa, essas páginas oferecem downloads do buscador chinês Sogou.
Acreditando que esses programas são legítimos, as vítimas fazem o download e acabam tendo seus dispositivos infectados, sem notarem, ao instalar os softwares;Variação do Gh0stRAT, a ferramenta de acesso Sainbox RAT é um dos malwares incluídos nos softwares falsos;Também foi identificado um rootkit oculto, que permite aos invasores se esconderem no sistema enquanto agem;Com esse arquivo malicioso agindo, a detecção por antivírus e a identificação de atividades suspeitas no PC se tornam mais difíceis.
O Sainbox RAT fornece controle total da máquina aos cibercriminosos, possibilitando a coleta de dados e outras ações maliciosas à distância. Por sua vez, o rootkit utiliza filtros e outras ferramentas para ocultar processos, arquivos, chaves e mudanças no registro do sistema, disfarçando a presença dos hackers.
Saiba mais: Após ataques cibernéticos e roubo de criptomoedas, Irã cogita até ‘desligar internet’ no país
“Essa campanha mostra como cibercriminosos seguem explorando softwares populares e o interesse por soluções com inteligência artificial para aplicar golpes sofisticados e silenciosos. Ao embutir códigos maliciosos em instaladores aparentemente legítimos, eles dificultam a detecção”, alertou o pesquisador do Netskope Threat Labs, Leandro Fróes, em comunicado.
Uma versão modificada da IA DeepSeek também foi usada na campanha. (Imagem: Netskope Threat Labs/Reprodução)
Quais são os riscos e como se proteger?
Além do já citado roubo de dados, que pode resultar em prejuízos para as vítimas, os ciberataques baseados em versões falsas do WPS Office e da IA DeepSeek proporcionam a instalação remota de outros arquivos maliciosos no computador infectado, de acordo com o relatório. Dessa forma, os invasores ficam livres para realizar mais atividades ilícitas.
O especialista alerta, ainda, para a persistência da ameaça, garantida pela modificação do registro do sistema. Assim, o malware continua sendo executado automaticamente todas as vezes que o computador for ligado até que seja identificado e eliminado.
Se proteja: Cupom NordVPN: 70% offSe proteja: Cupom Kaspersky: 45% de desconto
Para se proteger, a dica é baixar os programas apenas de fontes oficiais, sempre verificando se o site acessado para o download é seguro e mantido pelo desenvolvedor do software. Também vale deixar o dispositivo atualizado e usar ferramentas de segurança para detectar ameaças escondidas.
Curtiu o conteúdo? Continue no TecMundo e interaja com a gente nas redes sociais, deixando comentários e sugestões.