Ícone do site Teech

Hakuna Matata: Ransomware Sofisticado Bloqueia Windows e Rouba Dados Bancários

Uma nova e sofisticada operação de ransomware, batizada de Hakuna Matata, está infectando sistemas operacionais Windows através de documentos empresariais maliciosos. Uma vez ativado, o ataque ocorre em quatro etapas coordenadas, permitindo a vigilância dos dispositivos comprometidos e o roubo de dados financeiros.

Identificada por analistas de segurança, a ameaça se destaca por abusar exclusivamente de funcionalidades legítimas do Windows, ferramentas administrativas nativas e plataformas de nuvem pública, como GitHub, Dropbox e Telegram. Essa tática permite que o ransomware permaneça indetectável em meio ao tráfego corporativo normal.

A campanha integra o ransomware Hakuna Matata, o trojan bancário Amnesia RAT e ferramentas de bloqueio de sistema. A sequência de ataque desativa sistematicamente todas as defesas do sistema antes de executar suas cargas destrutivas.

Como funciona a cadeia de infecção

O processo de invasão geralmente começa com arquivos compactados que contêm atalhos LNK maliciosos, disfarçados como documentos contábeis corporativos. Quando uma vítima executa o arquivo, acreditando ser uma planilha legítima, o atalho inicia o PowerShell. Este, por sua vez, usa um desvio da política de execução para baixar silenciosamente um script ofuscado, hospedado no GitHub.

O carregador inicial estabelece persistência no sistema, gera documentos falsos para distrair o usuário e inicia a comunicação com os invasores através da API do Telegram Bot, confirmando o sucesso da infecção. Essa abordagem minimiza a detecção baseada em assinatura, pois todo o tráfego de rede se apresenta como legítimo.

Defendnot neutraliza Microsoft Defender antes do ataque

Um componente crítico dessa campanha é o uso do Defendnot, uma ferramenta de pesquisa originalmente criada para demonstrar vulnerabilidades do Windows Security Center. Os cibercriminosos transformaram essa ferramenta legítima em uma arma para desativar sistematicamente o Microsoft Defender.

O Defendnot registra um produto antivírus falso no sistema e explora as presunções de confiança do Windows para forçar o desligamento automático do Defender. O sistema operacional, ao identificar a presença de outro antivírus “instalado”, desativa suas próprias proteções para evitar conflitos, deixando a máquina completamente vulnerável.

Malware opera em quatro fases destrutivas

Com o Microsoft Defender neutralizado, o malware avança por quatro fases operacionais distintas:

Abuso de plataformas legítimas dificulta detecção

A sofisticação técnica dessa campanha reside na exploração inteligente de ferramentas e serviços completamente legítimos. Ao hospedar scripts maliciosos no GitHub, usar Dropbox para distribuição de cargas e comunicar-se através da API do Telegram Bot, os criminosos conseguem misturar tráfego malicioso com atividades corporativas normais.

Sistemas de detecção tradicionais, baseados em assinatura, encontram dificuldades em identificar essas ameaças, pois todas as conexões de rede parecem ser acessos legítimos a plataformas amplamente utilizadas por empresas. O PowerShell, uma ferramenta administrativa nativa do Windows, executa todo o processo inicial sem acionar alertas de segurança. Essa abordagem de “viver da terra” (Living off the Land) permite que os atacantes permaneçam ocultos por períodos prolongados, ampliando o impacto antes que as vítimas percebam qualquer atividade suspeita.

Como se proteger da ameaça

Especialistas recomendam as seguintes medidas de proteção para evitar essa campanha de difícil identificação:

Sair da versão mobile