Hackers disfarçam trojan letal em instalador falso de Roblox

Hackers disfarçam trojan letal em instalador falso de Roblox – Canaltech

Pesquisadores de segurança da Inteligência de Ameaças da Microsoft emitiram alertas de que hackers estão usando supostas ferramentas para jogos como Xeno e Roblox para entregar RATs (trojans de acesso remoto). Os executáveis baixados parecem legítimos e inofensivos, mas usam diversas táticas furtivas para permanecerem ativos no computador da vítima.

Os arquivos, disfarçados como Xeno.exe ou RobloxPlayerBeta.exe, por exemplo, agem como downloaders que preparam o sistema para a próxima fase de ataque. É instalado um Java runtime portátil que lança o arquivo malicioso jd-gui.jar, usando ferramentas legítimas do Windows, como o PowerShell e binários do sistema como cmstp.exe, para o malware se manter escondido.

Ataque living-off-the-land

Executáveis confiáveis, conhecidos como binários living-off-the-land (LOLbins), permitem que os hackers explorem softwares já presentes no sistema Windows para evitar detecção, já que sua atividade parece ser um processo normal. No malware em questão, o PC da vítima é conectado a servidores remotos, que salvam o arquivo malicioso update.exe e o executam automaticamente.

–
Entre no Canal do WhatsApp do Canaltech e fique por dentro das últimas notícias sobre tecnologia, lançamentos, dicas e tutoriais incríveis.
–

Microsoft Defender researchers uncovered a campaign that lured users into running trojanized gaming utilities (Xeno.exe or RobloxPlayerBeta.exe) distributed through browsers and chat platforms, leading to the deployment of a remote access trojan (RAT).
A malicious downloader… pic.twitter.com/87Yum5y78z

— Microsoft Threat Intelligence (@MsftSecIntel) February 26, 2026

Um dos domínios listados no script inclui o powercatdog, que remove traços do downloader original e adiciona exceções no Microsoft Defender para que os componentes RAT não sejam atacados pelo antivírus nativo. Com gerenciamento da inicialização do Windows e programação de tarefas, um script chamado word.vbs garante que o programa hacker rode toda vez que o computador é ligado.

Segundo a Microsoft, o Defender já foi atualizado e consegue detectar o malware e os comportamentos usados na campanha, mas a empresa ainda recomenda que usuários monitorem o tráfego de saída da máquina e bloqueiem conexões aos domínios e IPs listados nos indicadores de comprometimento (verifique o comunicado da Microsoft para saber mais).

Caso você jogue no seu computador Windows, tenha cuidado ao baixar quaisquer ferramentas compartilhadas em grupos, chats ou locais que prometam atalhos, vantagens e afins: a chance de conterem malwares escondidos sob nomes familiares é bem grande. Confie apenas em sites oficiais e evite páginas clandestinas.