Uma campanha cibercriminosa sofisticada, batizada de Hakuna Matata, está comprometendo computadores com Windows por meio de arquivos corporativos aparentemente legítimos. A ameaça se espalha principalmente via documentos empresariais compactados e desencadeia uma cadeia de ataque em múltiplas etapas, que combina espionagem, roubo de dados financeiros e criptografia completa do sistema.
A operação foi identificada por pesquisadores da Fortinet, que apontam um diferencial preocupante: o ataque utiliza exclusivamente ferramentas legítimas do próprio Windows, além de serviços amplamente usados como GitHub, Dropbox e Telegram. Essa estratégia permite que a atividade maliciosa se misture ao tráfego corporativo comum, dificultando a detecção por soluções tradicionais de segurança.
Ataque combina ransomware, trojan bancário e bloqueio do sistema
A campanha integra três componentes principais em uma única ofensiva coordenada: o ransomware Hakuna Matata, o trojan bancário Amnesia RAT e mecanismos de bloqueio total do sistema, conhecidos como WinLocker. Antes de executar as cargas destrutivas, o malware desativa de forma sistemática as defesas do sistema operacional.
Segundo a Fortinet, um dos pontos mais críticos é o uso do Defendnot, uma ferramenta originalmente criada para fins de pesquisa e demonstração de falhas no Windows Security Center. Na campanha, ela é reaproveitada como arma para neutralizar o Microsoft Defender.
Defendnot desativa o Microsoft Defender antes da infecção avançar
O Defendnot registra no sistema um antivírus falso, explorando a lógica de confiança do Windows. Ao identificar outro “produto de segurança” ativo, o sistema operacional desliga automaticamente o Microsoft Defender para evitar conflitos, deixando o computador desprotegido.
A infecção começa com arquivos compactados que contêm atalhos LNK maliciosos, disfarçados como documentos contábeis ou planilhas corporativas. Ao executar o arquivo, a vítima aciona um comando em PowerShell que ignora as políticas de execução e baixa um script ofuscado hospedado no GitHub, tudo de forma silenciosa.
Cadeia de infecção ocorre em quatro fases
Após a desativação das defesas, o ataque avança por quatro etapas bem definidas. Na primeira, o malware estabelece persistência, cria documentos falsos para distrair o usuário e confirma a infecção inicial por meio da API do Telegram Bot, o que reduz as chances de detecção baseada em assinatura.
Na segunda fase, inicia-se o reconhecimento e a vigilância ativa. Módulos de captura de tela monitoram continuamente a atividade do usuário, coletando informações sensíveis, credenciais e dados financeiros.
Em seguida, os invasores implementam um bloqueio abrangente do sistema. O WinLocker impede o uso normal do computador e exibe temporizadores de contagem regressiva, pressionando psicologicamente a vítima a entrar em contato para negociação de resgate.
Na etapa final, ocorre simultaneamente o roubo de dados e a criptografia dos arquivos. O Amnesia RAT estabelece acesso remoto persistente e extrai informações armazenadas em navegadores, carteiras de criptomoedas e dados bancários, enquanto o ransomware Hakuna Matata criptografa os arquivos do usuário e adiciona a extensão “NeverMind12F”, tornando-os inacessíveis sem a chave controlada pelos atacantes.
Uso de serviços legítimos dificulta a detecção
A sofisticação técnica da campanha está no abuso de plataformas amplamente confiáveis. Scripts maliciosos hospedados no GitHub, cargas distribuídas via Dropbox e comunicação feita pela API do Telegram Bot fazem com que o tráfego pareça legítimo aos olhos de sistemas de segurança corporativos.
Além disso, o uso intensivo do PowerShell, uma ferramenta administrativa nativa do Windows, permite que todo o processo inicial ocorra sem levantar alertas imediatos. Essa abordagem, conhecida como “Living off the Land”, favorece a permanência do malware no ambiente por longos períodos antes que qualquer atividade suspeita seja percebida.
Medidas recomendadas para reduzir o risco
Especialistas alertam que a melhor defesa contra esse tipo de ameaça começa com prevenção e controle de comportamento. É fundamental desconfiar de documentos inesperados, especialmente arquivos compactados ou enviados fora de fluxos habituais, mesmo quando aparentam ser legítimos. A confirmação do envio por um canal alternativo pode evitar infecções graves.
Monitorar sinais anormais no sistema, como lentidão repentina, uso excessivo de recursos, processos desconhecidos ou consumo elevado de bateria, também pode ajudar a identificar uma infecção em andamento. A manutenção de backups offline é outra medida essencial, já que cópias desconectadas da rede não podem ser criptografadas pelo ransomware.
Por fim, especialistas recomendam o uso de soluções de segurança em camadas, combinando antivírus, monitoramento comportamental e controle de rede, além da implementação de políticas mais restritivas para execução de scripts, exigindo assinaturas digitais válidas no PowerShell. Essas práticas elevam significativamente o custo e a complexidade de ataques que exploram ferramentas nativas do sistema.
