Microsoft expõe campanha que usa utilitários falsos de Roblox para instalar RATs
Aprofundamento CEVIU
Aprofundamento
A campanha exposta pela Microsoft não é um ataque pontual, mas parte de um padrão consolidado: explorar a confiança em ferramentas de jogos populares para contornar defesas. O malware usa um runtime Java portátil, sem depender da instalação prévia do Java no sistema, e executa jd-gui.jar, um nome que imita uma ferramenta legítima de descompilação Java, enganando até usuários com algum conhecimento técnico. A cadeia de infecção é meticulosa: o executável inicial some após a primeira execução, o world.vbs garante persistência na inicialização, e exclusões no Defender são adicionadas via PowerShell, tudo usando apenas binários nativos do Windows, sem download de ferramentas externas. Isso reduz drasticamente a chance de detecção por EDRs que focam em artefatos novos ou assinaturas.
O endereço C2 79.110.49[.]15 já está listado em feeds de ameaças como associado a operações de exfiltração de credenciais e captura de sessões ativas. Diferente de RATs genéricos, esse carregador tem capacidade de baixar módulos específicos sob demanda, incluindo keyloggers e ferramentas de mineração oculta, dependendo do perfil da vítima identificado localmente. A escolha do Roblox e Xeno como iscas não é aleatória: dados da Kaspersky mostram que, só em 2024, mais de 1,6 milhão de ataques usaram falsos instaladores do Roblox, com pico em agosto, o que revela um ciclo anual de exploração ligado ao retorno das atividades escolares e aumento do tempo de tela entre adolescentes.
Por que isso importa
Empresas com funcionários jovens, equipes de TI remotas ou ambientes BYOD (bring your own device) estão especialmente vulneráveis: um único clique em um link de grupo de Discord ou Telegram pode comprometer toda a rede corporativa se o dispositivo estiver conectado a recursos internos. O fato de o malware apagar seus próprios rastros e desativar alertas do Defender torna a detecção tardia comum, muitas vezes só identificada quando há vazamento de credenciais ou tráfego anômalo para IPs maliciosos. Para equipes de segurança, o caso reforça a necessidade de monitorar não só downloads suspeitos, mas também alterações em tarefas agendadas, scripts de inicialização e exclusões no antivírus, indicadores de comprometimento que costumam ser ignorados em dashboards tradicionais.
Perguntas frequentes
Como identificar se um arquivo 'RobloxPlayerBeta.exe' é falso?
Verifique a assinatura digital: o executável oficial da Roblox Corporation é assinado pela 'Roblox Corporation' e publicado por 'Roblox Corporation', não por 'RobloxPlayer' ou nomes genéricos. Compare o hash SHA256 com os valores divulgados no site oficial. Arquivos baixados fora do roblox.com ou do aplicativo oficial devem ser tratados como suspeitos, mesmo que tenham ícones idênticos.
Por que o uso de 'jd-gui.jar' é perigoso nesse contexto?
O jd-gui é uma ferramenta legítima de análise de código Java, mas aqui é usado como isca: o nome familiar reduz a desconfiança. O arquivo malicioso é renomeado para imitar a ferramenta, mas seu conteúdo executa código que se conecta ao servidor C2. Como ele roda dentro de um runtime Java embutido, evita a necessidade de instalar o Java no sistema, contornando políticas que bloqueiam softwares não autorizados.
O que fazer se um terminal já tiver o 'world.vbs' rodando?
Desconecte o dispositivo da rede imediatamente. Remova a tarefa agendada vinculada ao script, exclua o arquivo world.vbs (geralmente em %APPDATA% ou %TEMP%), verifique e limpe exclusões no Microsoft Defender, e escaneie com uma segunda ferramenta de resposta a incidentes. Não reinicie o sistema antes de isolar, o script pode disparar novamente na inicialização.
Esse RAT pode afetar empresas que não usam Roblox?
Sim. O alvo não é o jogo, mas o comportamento humano: funcionários ou terceiros que acessam salas de bate-papo, grupos de Discord ou fóruns de jogos podem baixar o arquivo acidentalmente. Uma vez dentro da rede corporativa, o RAT se comunica com o C2, exfiltra cookies de navegação, credenciais salvas e até tokens de sessão ativa, permitindo acesso não autorizado a sistemas internos, mesmo que a empresa nunca tenha usado Roblox.
Fontes
- hackread.comfonte original
- Categoria
- CEVIU Segurança da Informação
- Publicado
- 06 de março de 2026
- Editoria
- CEVIU Segurança da Informação
