A Microsoft divulgou uma nova pesquisa sobre o GigaWiper, um backdoor modular escrito em Golang para Windows combina acesso remoto robusto com várias formas de destruir permanentemente sistemas e dados.
O GigaWiper é um Windows que a Microsoft vem observando em invasões desde outubro de 2025. Em vez de ser um wiper com finalidade única, trata-se de uma plataforma operacional que combina funções de comando e controle (C2), destruição de dados e opções de acesso remoto em um único malware.
O que chama a atenção é que o GigaWiper parece ter sido desenvolvido a partir de ferramentas anteriormente independentes, como o ransomware Crucio e o apagador de disco FlockWiper, integradas em uma estrutura consolidada.
Com base nas características do malware, que incluem recursos de espionagem (captura de tela, controle remoto semelhante ao VNC, inventário do sistema) e várias formas de destruir dados de maneira irreversível, ele se encaixa no perfil de um invasor que busca acesso de longo prazo, mas também se reserva a opção de apagar os sistemas, caso assim o deseje.
O GigaWiper implementa cerca de 20 comandos, que se enquadram, de maneira geral, em três categorias: destruição, acesso remoto/monitoramento e gerenciamento do sistema. Alguns exemplos incluem:
- Programa de limpeza de disco bruto que sobrescreve o conteúdo do disco bruto em grandes blocos antes de forçar uma reinicialização imediata.
- Ransomware falso (baseado no Crucio) do tipo “wiper” que se faz passar por ransomware. Em vez de exigir pagamento, ele criptografa os arquivos e, em seguida, descarta a chave de criptografia, tornando a recuperação impossível.
- Programa de apagamento seguroWindows que tem como alvo a unidade Windows e realiza sobrescritas em várias passagens utilizando diferentes padrões de bytes.
- Captura e gravação de tela, incluindo capturas de tela pontuais de cada monitor e gravação contínua enquanto o usuário estiver ativo.
- Controle remoto por meio de um servidor TCP (Protocolo de Controle de Transmissão) que transmite a tela do computador e permite o uso do teclado e do mouse após criar suas próprias exceções Windows .
O GigaWiper também configura uma tarefa agendada chamada “OneDrive Update”, que é executada a cada minuto e na inicialização do sistema para garantir a persistência.
Foram encontrados servidores de comando e controle em 185.182.193[.]21 e 212.8.248[.]104.

Seus utilitários de gerenciamento incluem gerenciadores de processos, serviços e registro, capazes de criar, listar ou encerrar processos, gerenciar Windows e navegar e alterar chaves do registro. Ele também coleta informações do sistema, incluindo detalhes sobre hardware, sistema operacional, rede, firmware, usuário e antivírus.
Como se manter seguro
Como o GigaWiper é implantado depois que os invasores já comprometeram um sistema, a melhor defesa é impedir a invasão inicial e detectar atividades maliciosas antes que comandos destrutivos possam ser executados.
Malwarebytes os componentes do GigaWiper com os nomes de detecção Trojan.FlockWiper e Backdoor.GigaWiper.
- Caso o GigaWiper seja detectado, desconecte imediatamente a máquina afetada da rede para impedir que os invasores executem comandos destrutivos.
- Ative a proteção contra adulterações (ou o recurso equivalente em seu software de segurança) para que administradores locais e malwares não possam desativar secretamente o antimalware ou outras ferramentas de segurança.
- Monitore as conexões com os servidores C2 conhecidos, a criação da tarefa agendada “OneDrive Update” e as tentativas não autorizadas de desativar Windows .
- Por fim, atualize as credenciais, especialmente no caso de contas que possam ter sido comprometidas, e analise os registros em busca de escaladas de privilégios ou movimentações laterais para determinar se outros sistemas também foram afetados.
Não nos limitamos a informar sobre as ameaças, nós as removemos
Os riscos de segurança cibernética nunca devem se espalhar além de uma manchete. Mantenha as ameaças longe de seus dispositivos fazendo o download Malwarebytes hoje mesmo.




