Como novos malwares usam matemática e o seu mouse para espionar em silêncio

Como novos malwares usam matemática e o seu mouse para espionar em silêncio – Canaltech

Barulhento, agressivo e óbvio, o ransomware foi o tipo de malware que mais tirou o sono dos usuários por muitos anos: roubando ou encriptando arquivos e pedindo resgate em bitcoins, esse tipo de golpe caiu em 38%, segundo o relatório The Red Report 2026. As novas ameaças são parasitas que se infiltram no PC e ganham acesso persistente, completamente furtivo.

O objetivo dos novos vírus é “morar” no computador, ler os e-mails, roubar os cookies de sessão, usar o processamento da máquina para minerar bitcoins ou alimentar chatbots fraudulentos (LLMjacking) e muito mais, tudo no mais absoluto silêncio. Mas como eles fazem isso? Para explicar, vamos ter que mergulhar no funcionamento dos antivírus modernos.

Teste de Turing reverso

Os antivírus comuns usam o que chamamos de sandbox, uma “caixa de areia” que nada mais é do que uma máquina virtual, um computador falso onde qualquer arquivo suspeito é colocado para ter o comportamento monitorado. Caso aja maliciosamente, sabemos que é um malware, que o antivírus logo trata de excluir.

–
Entre no Canal do WhatsApp do Canaltech e fique por dentro das últimas notícias sobre tecnologia, lançamentos, dicas e tutoriais incríveis.
–

As “sandboxes” são máquinas virtuais onde programas suspeitos rodam para que o antivírus note comportamentos maliciosos (Imagem: Unsplash/Domínio Público)

Para contornar o problema, os hackers fazem com que o malware seja capaz de detectar o ambiente: “estou em um PC de verdade, controlado por um humano, ou numa armadilha de antivírus?”.

Para isso, o arquivo malicioso fica dormente, observando o comportamento dos periféricos. Se não for detectado comportamento humano genuíno — um “teste de Turing reverso”, o vírus não é ativado, enganando as defesas e posando como um arquivo inofensivo.

Trigonometria aplicada ao mouse

Malwares como o LummaC2 não apenas vêem onde o mouse está, mas calculam os vetores e ângulos da movimentação do cursor. Em sandboxes, ele pula do ponto A ao ponto B instantaneamente ou em linhas retas perfeitas, enquanto um humano faz movimentos em arco, curvas suaves, acelerações e desacelerações constantes.

Com funções trigonométricas, o malware consegue analisar os arcos com precisão de milissegundos: se a matemática disser que o movimento é robótico, o agente se autodestrói ou permanece inerte. Outra tática é o keylogging dinâmico, que nota se a senha em um campo é colada instantaneamente ou digitada em um ritmo considerado humano.

A movimentação do mouse por uma mão humana é cheia de imperfeições: se não notar movimentos assim, o malware saberá que está numa máquina virtual de antivírus e irá se autodestruir (Imagem: Logitech)

Camuflagem de tráfego

Outro desafio dos malwares é o envio dos dados roubados sem que o firewall detecte a movimentação. Para isso, são usados domínios legítimos e confiáveis como os da OpenAI e Amazon Web Services (AWS).

O administrador da rede vê o tráfego saindo e acredita que o usuário está apenas usando o ChatGPT, mas, na verdade, é um vírus extraindo gigabytes de dados privados ou corporativos por uma porta que ninguém ousa fechar.

Os antivírus tradicionais estão perdendo essa guerra, mas há esperança: alguns aplicativos de proteção, como os EDR e XDR, são comportamentais, ou seja, usam de um raciocínio tão poderoso quanto o dos vírus para procurar por anomalias sutis, como uso excessivo de processador quando deveria estar ocioso e outros sinais indiretos da atuação maliciosa.

Se escanear arquivos conhecidos não funciona, é preciso ir além na corrida armamentista dos malwares.