CEVIU Logo
Voltar

Microsoft expõe campanha que usa utilitários falsos de Roblox para instalar RATs

Aprofundamento CEVIU

Aprofundamento

A campanha exposta pela Microsoft não é um ataque pontual, mas parte de um padrão consolidado: explorar a confiança em ferramentas de jogos populares para contornar defesas. O malware usa um runtime Java portátil, sem depender da instalação prévia do Java no sistema, e executa jd-gui.jar, um nome que imita uma ferramenta legítima de descompilação Java, enganando até usuários com algum conhecimento técnico. A cadeia de infecção é meticulosa: o executável inicial some após a primeira execução, o world.vbs garante persistência na inicialização, e exclusões no Defender são adicionadas via PowerShell, tudo usando apenas binários nativos do Windows, sem download de ferramentas externas. Isso reduz drasticamente a chance de detecção por EDRs que focam em artefatos novos ou assinaturas.

O endereço C2 79.110.49[.]15 já está listado em feeds de ameaças como associado a operações de exfiltração de credenciais e captura de sessões ativas. Diferente de RATs genéricos, esse carregador tem capacidade de baixar módulos específicos sob demanda, incluindo keyloggers e ferramentas de mineração oculta, dependendo do perfil da vítima identificado localmente. A escolha do Roblox e Xeno como iscas não é aleatória: dados da Kaspersky mostram que, só em 2024, mais de 1,6 milhão de ataques usaram falsos instaladores do Roblox, com pico em agosto, o que revela um ciclo anual de exploração ligado ao retorno das atividades escolares e aumento do tempo de tela entre adolescentes.

Por que isso importa

Empresas com funcionários jovens, equipes de TI remotas ou ambientes BYOD (bring your own device) estão especialmente vulneráveis: um único clique em um link de grupo de Discord ou Telegram pode comprometer toda a rede corporativa se o dispositivo estiver conectado a recursos internos. O fato de o malware apagar seus próprios rastros e desativar alertas do Defender torna a detecção tardia comum, muitas vezes só identificada quando há vazamento de credenciais ou tráfego anômalo para IPs maliciosos. Para equipes de segurança, o caso reforça a necessidade de monitorar não só downloads suspeitos, mas também alterações em tarefas agendadas, scripts de inicialização e exclusões no antivírus, indicadores de comprometimento que costumam ser ignorados em dashboards tradicionais.

Perguntas frequentes

Como identificar se um arquivo 'RobloxPlayerBeta.exe' é falso?

Verifique a assinatura digital: o executável oficial da Roblox Corporation é assinado pela 'Roblox Corporation' e publicado por 'Roblox Corporation', não por 'RobloxPlayer' ou nomes genéricos. Compare o hash SHA256 com os valores divulgados no site oficial. Arquivos baixados fora do roblox.com ou do aplicativo oficial devem ser tratados como suspeitos, mesmo que tenham ícones idênticos.

Por que o uso de 'jd-gui.jar' é perigoso nesse contexto?

O jd-gui é uma ferramenta legítima de análise de código Java, mas aqui é usado como isca: o nome familiar reduz a desconfiança. O arquivo malicioso é renomeado para imitar a ferramenta, mas seu conteúdo executa código que se conecta ao servidor C2. Como ele roda dentro de um runtime Java embutido, evita a necessidade de instalar o Java no sistema, contornando políticas que bloqueiam softwares não autorizados.

O que fazer se um terminal já tiver o 'world.vbs' rodando?

Desconecte o dispositivo da rede imediatamente. Remova a tarefa agendada vinculada ao script, exclua o arquivo world.vbs (geralmente em %APPDATA% ou %TEMP%), verifique e limpe exclusões no Microsoft Defender, e escaneie com uma segunda ferramenta de resposta a incidentes. Não reinicie o sistema antes de isolar, o script pode disparar novamente na inicialização.

Esse RAT pode afetar empresas que não usam Roblox?

Sim. O alvo não é o jogo, mas o comportamento humano: funcionários ou terceiros que acessam salas de bate-papo, grupos de Discord ou fóruns de jogos podem baixar o arquivo acidentalmente. Uma vez dentro da rede corporativa, o RAT se comunica com o C2, exfiltra cookies de navegação, credenciais salvas e até tokens de sessão ativa, permitindo acesso não autorizado a sistemas internos, mesmo que a empresa nunca tenha usado Roblox.

Fontes

Avalie este artigo:
Compartilhar:
Categoria
CEVIU Segurança da Informação
Publicado
06 de março de 2026
Editoria
CEVIU Segurança da Informação

Quer receber mais sobre CEVIU Segurança da Informação?

Conteúdo curado diariamente, direto no seu e-mail.

Conteúdo curado diariamenteDiversas categoriasCancele quando quiser