quinta-feira, 16 de julho de 2026

Vírus imita programa da NVIDIA para invadir e roubar PCs

 Pesquisadores de cibersegurança da empresa Blackpoint Cyber descobriram uma nova ameaça digital batizada de LabubaRAT. Esse é um vírus que se disfarça de uma ferramenta da fabricante de placas de vídeo NVIDIA para invadir sistemas corporativos, assumir o controle remoto das máquinas e roubar dados.



Como o nome já indica, o Labuba é um RAT, ou seja, um Cavalo de Troia de Acesso Remoto. Esse é um tipo de malware comum no mundo do cibercrime e conta com características muito perigosas. Softwares como esse permitem que um invasor opere o computador da vítima à distância, com acesso completo aos arquivos e processos do sistema.

O que chama a atenção é como o malware é distribuído por um executável que usa o nome da Nvidia, chamado “nvidia-sysruntime.exe”. Apesar disso, a Nvidia não possui nenhuma relação direta com esse golpe e seus softwares estão livres de vírus. Os atacantes apenas utilizaram o nome da empresa.


O relatório da Blackpoint não detalha exatamente como o LabubaRAT é distribuído na internet, somente o seu método de execução e comportamento. Esse nome foi atribuído ao malware por conta da interface de comando utilizada pelos hackers, que exibia o título "LabubaPanel" e a imagem do brinquedo chamado Labubu.

Uma vez instalado na máquina, o LabubaRAT pode capturar a tela do usuário, copiar documentos confidenciais, baixar arquivos da rede e carregar novas ferramentas maliciosas para dentro da máquina. Com as devidas permissões, esse RAT pode até controlar partes do sistema da vítima.


Dissecando o LabubaRAT

Por fora, o LabubaRAT se esconde como uma aplicação da NVIDIA, diretamente relacionada ao Nvidia Container Runtime Monitor. Por dentro, o programa é construído em Rust, uma linguagem de programação moderna que gera códigos complexos e rápidos. Essa é uma linguagem presente em diversos malwares recentes.

O documento da Blackpoint Cyber cita que diferente de outros vírus, ele recebe suas instruções no momento em que é ativado, via comandos de texto. Isso é feito por meio de um script empacotado em um bloco de texto codificado. Dessa forma, o mesmo arquivo pode ser usado em campanhas totalmente diferentes, enganando as defesas do sistema.


Após a ativação, o vírus cria um pequeno banco de dados oculto no disco para guardar suas configurações. Antes de agir, ele vasculha o computador em busca de um recurso chamado “estado do controle de usuário” (UAC) e identifica quais navegadores e ferramentas de segurança estão instalados, como softwares da Kaspersky, CrowdStrike, etc.

O RAT começa a estabelecer três canais de comunicação com os hackers. Ele usa tráfego padrão de sites, por meio do protocolo HTTPS, e um canal escondido por meio de processos de navegadores (WebView2). Caso a segurança do sistema bloqueie esses dois, há um terceiro canal feito por meio de requisições falsas de internet.


Quando finalmente o atacante resolve rodar seus comandos maliciosos, o LabubaRAT cria pequenos scripts temporários, escritos em JavaScript, e os executa de forma silenciosa. Para se manter no sistema após o PC ser desligado, ele se infiltra no registro de inicialização do Windows do próprio usuário.

Como as empresas podem se proteger?

A Blackpoint indica que a a utilização de sistemas de detecção e resposta pode ser usada para interceptar programas que afirmam ser empresas, como a Nvidia, mas não possuem certificado digital atrelado. Monitorar e alertar execuções de arquivos desconhecidos também é um passo importante.


Como a empresa não cita a distribuição do LabubaRAT e ele se disfarça de app da Nvidia, é fácil assumir que ele está disponível para download em fóruns e anúncios falsos. Para o usuário comum, é importante baixar arquivos somente no site oficial das fabricantes.


Nenhum comentário:

Postar um comentário