Notícias, Informações sobre ameaças

Como downloads de software reais podem ocultar backdoors remotas

por Stefan Dasic | 14 de janeiro de 2026
Camuflagem

Tudo começa com uma simples pesquisa.

Você precisa configurar o acesso remoto ao computador de um colega. Você faz uma pesquisa no Google por “download do RustDesk”, clica em um dos primeiros resultados e chega a um site bem elaborado, com documentação, downloads e uma marca familiar.

Você instala o software, inicia-o e tudo funciona exatamente como esperado.

O que você não vê é o segundo programa que é instalado junto com ele — um programa que, silenciosamente, dá aos invasores acesso persistente ao seu computador.

Foi exatamente isso que observamos em uma campanha que utilizava o domínio falso rustdesk[.]work.

A isca: uma imitação quase perfeita

Identificamos um site malicioso em rustdesk[.]work que se faz passar pelo projeto legítimo RustDesk, hospedado em rustdesk.com. O site falso é muito semelhante ao real, com conteúdo multilíngue e avisos em destaque afirmando (ironicamente) que rustdesk[.]work é o único domínio oficial.

Esta campanha não explora vulnerabilidades de software nem depende de técnicas avançadas de hacking. Seu sucesso se deve inteiramente ao engano. Quando um site parece legítimo e o software se comporta normalmente, a maioria dos usuários nunca suspeita que algo esteja errado.

O site falso em chinês

O site falso em inglês

O que acontece quando você executa o instalador

O instalador realiza uma manobra deliberada de isca e troca:

  1. Instala o RustDesk real, totalmente funcional e sem modificações.
  2. Ele instala silenciosamente um backdoor oculto, uma estrutura de malware conhecida como Winos4.0.

O usuário vê o RustDesk iniciar normalmente. Tudo parece funcionar. Enquanto isso, o backdoor estabelece silenciosamente uma conexão com o servidor do invasor.

Ao agrupar malware com software funcional, os invasores removem o sinal de alerta mais óbvio: funcionalidade defeituosa ou ausente. Do ponto de vista do usuário, nada parece errado.

Dentro da cadeia de infecção

O malware é executado por meio de um processo em etapas, com cada etapa projetada para evitar a detecção e estabelecer persistência:

Etapa 1: O instalador com trojan

O arquivo baixado (rustdesk-1.4.4-x86_64.exe) atua tanto como conta-gotas e isca. Ele grava dois arquivos no disco:

  • O instalador legítimo do RustDesk, que é executado para manter a cobertura
  • logger.exe, a carga útil do Winos4.0

O malware fica oculto à vista de todos. Enquanto o usuário observa a instalação normal do RustDesk, a carga maliciosa é silenciosamente preparada em segundo plano.

Etapa 2: Execução do carregador

O logger.exe O arquivo é um carregador — sua função é configurar o ambiente para o implante principal. Durante a execução, ele:

  • Cria um novo processo
  • Aloca memória executável
  • Execução de transições para uma nova identidade de tempo de execução: Libserver.exe

Essa transferência do carregador para o implante é uma técnica comum em malwares sofisticados para separar o dropper inicial do backdoor persistente.

Ao alterar o nome do processo, o malware dificulta a análise forense. Os defensores que procuram “logger.exe” não encontrará nenhum processo em execução com esse nome.

Etapa 3: Implantação do módulo na memória

O Libserver.exe O processo descompacta toda a estrutura Winos4.0 na memória. Vários módulos DLL do WinosStager — e uma grande carga útil de ~128 MB — são carregados sem serem gravados no disco como arquivos independentes.

As ferramentas antivírus tradicionais concentram-se na verificação de arquivos no disco (detecção baseada em arquivos). Ao manter seus componentes funcionais apenas na memória, o malware reduz significativamente a eficácia da detecção baseada em arquivos. É por isso que a análise comportamental e a verificação da memória são fundamentais para detectar ameaças como o Winos4.0.

A carga útil oculta: Winos4.0

A carga útil secundária é identificada como Winos4.0 (WinosStager): uma estrutura sofisticada de acesso remoto que foi observada em várias campanhas, visando particularmente usuários na Ásia.

Uma vez ativado, permite que os invasores:

  • Monitore a atividade da vítima e capture imagens da tela
  • Registre as teclas digitadas e roube credenciais
  • Baixar e executar malware adicional
  • Mantenha o acesso persistente mesmo após reinicializações do sistema

Não se trata de um simples malware, mas sim de uma estrutura de ataque completa. Uma vez instalada, os invasores têm uma base que podem usar para realizar espionagem, roubar dados ou implantar ransomware no momento que desejarem.

Detalhe técnico: como o malware se esconde

O malware emprega várias técnicas para evitar a detecção:

O que ele fazComo isso é alcançadoPor que isso é importante
Funciona inteiramente na memóriaCarrega código executável sem gravar arquivosEvita a detecção baseada em arquivos
Detecta ambientes de análiseVerifica a memória disponível do sistema e procura ferramentas de depuração.Impede que pesquisadores de segurança analisem seu comportamento
Verifica o idioma do sistemaConsulta as configurações regionais através do WindowsPode ser usado para segmentar (ou evitar) regiões geográficas específicas
Limpa o histórico do navegadorInvoca APIs do sistema para excluir dados de navegaçãoRemove as evidências de como a vítima encontrou o site malicioso.
Oculta a configuração no registroArmazena dados criptografados em caminhos de registro incomunsOculta a configuração de inspeções casuais

Atividade de comando e controle

Logo após a instalação, o malware se conecta a um servidor controlado pelo invasor:

  • IP: 207.56.13[.]76
  • Porta: 5666/TCP

Essa conexão permite que os invasores enviem comandos para a máquina infectada e recebam dados roubados em troca. A análise de rede confirmou uma comunicação bidirecional sustentada, consistente com uma sessão de comando e controle estabelecida.

Como o malware se mistura ao tráfego normal

O malware é particularmente inteligente na forma como disfarça sua atividade na rede:

DestinoObjetivo
207.56.13[.]76:5666Malicioso: servidor de comando e controle
209.250.254.15:21115-21116Legítimo: tráfego de retransmissão do RustDesk
api.rustdesk.com:443Legítimo: API RustDesk

Como a vítima instalou o RustDesk original, o tráfego de rede do malware se mistura com o tráfego legítimo da área de trabalho remota. Isso torna muito mais difícil para as ferramentas de segurança de rede identificarem as conexões maliciosas: o computador infectado parece estar apenas executando o RustDesk.

O que esta campanha revela

Este ataque demonstra uma tendência preocupante: software legítimo usado como camuflagem para malware.

Os invasores não precisaram encontrar uma vulnerabilidade zero-day nem criar um exploit sofisticado. Eles simplesmente:

  1. Registrou um nome de domínio convincente
  2. Clonou um site legítimo
  3. Software real empacotado com seu malware
  4. Deixe a vítima fazer o resto

Essa abordagem funciona porque explora a confiança humana, em vez de vulnerabilidades técnicas. Quando o software se comporta exatamente como esperado, os usuários não têm motivos para suspeitar de comprometimento.

Indicadores de comprometimento

Hashes de arquivo (SHA256)

ArquivoSHA256Classificação
Instalador trojanizado330016ab17f2b03c7bc0e10482f7cb70d44a46f03ea327cd6dfe50f772e6af30Malicioso
logger.exe / Libserver.exe5d308205e3817adcfdda849ec669fa75970ba8ffc7ca643bf44aa55c2085cb86Carregador Winos4.0
Binário RustDeskc612fd5a91b2d83dd9761f1979543ce05f6fa1941de3e00e40f6c7cdb3d4a6a0Legítimo

Indicadores de rede

Domínio malicioso: rustdesk[.]work

Servidor C2: 207.56.13[.]76:5666/TCP

Cargas úteis na memória

Durante a execução, o malware descompacta vários componentes adicionais diretamente na memória:

SHA256TamanhoTipo
a71bb5cf751d7df158567d7d44356a9c66b684f2f9c788ed32dadcdefd9c917a107 KBWinosStager DLL
900161e74c4dbab37328ca380edb651dc3e120cfca6168d38f5f53adffd469f6351 KBWinosStager DLL
770261423c9b0e913cb08e5f903b360c6c8fd6d70afdf911066bc8da67174e43362 KBWinosStager DLL
1354bd633b0f73229f8f8e33d67bab909fc919072c8b6d46eee74dc2d637fd31104 KBWinosStager DLL
412b10c7bb86adaacc46fe567aede149d7c835ebd3bcab2ed4a160901db622c7~128 MBCarga útil na memória
00781822b3d3798bcbec378dfbd22dc304b6099484839fe9a193ab2ed8852292307 KBCarga útil na memória

Como se proteger

A campanha rustdesk[.]work mostra como os invasores podem obter acesso sem exploits, avisos ou software corrompido. Ao se esconder atrás de ferramentas de código aberto confiáveis, esse ataque conseguiu persistência e cobertura, sem dar às vítimas motivos para suspeitar de comprometimento.

A conclusão é simples: um software que se comporta normalmente não significa que seja seguro. As ameaças modernas são projetadas para se camuflar, tornando essenciais as defesas em camadas e a detecção comportamental.

Para pessoas físicas:

  • Sempre verifique as fontes de download. Antes de baixar um software, verifique se o domínio corresponde ao projeto oficial. Para o RustDesk, o site legítimo é rustdesk.com — não rustdesk.work ou variantes semelhantes.
  • Desconfie dos resultados de pesquisa. Os invasores utilizam o SEO poisoning para colocar sites maliciosos no topo dos resultados de pesquisa. Sempre que possível, navegue diretamente para sites oficiais em vez de clicar em links de pesquisa.
  • Use um software de segurança. Malwarebytes Premium detecta famílias de malware como o Winos4.0, mesmo quando incluídas em pacotes de software legítimos.

Para empresas:

  • Monitore conexões de rede incomuns. O tráfego de saída na porta 5666/TCP ou conexões com endereços IP desconhecidos de sistemas que executam software de desktop remoto devem ser investigados.
  • Implemente uma lista de aplicativos permitidos. Restrinja quais aplicativos podem ser executados em seu ambiente para impedir a execução de softwares não autorizados.
  • Informe os usuários sobre typosquatting. Os programas de treinamento devem incluir exemplos de sites falsos e como verificar fontes de download legítimas.
  • Bloqueie infraestruturas maliciosas conhecidas. Adicione os IOCs listados acima às suas ferramentas de segurança.

Não nos limitamos a informar sobre as ameaças, nós as removemos

Os riscos de segurança cibernética nunca devem se espalhar além de uma manchete. Mantenha as ameaças longe de seus dispositivos fazendo o download Malwarebytes hoje mesmo.

Sobre o autor

Stefan Dasic

Stefan Dasic

Apaixonado por soluções antivírus, Stefan está envolvido em testes de malware e controle de qualidade de produtos AV desde muito cedo. Como parte da equipe Malwarebytes , Stefan se dedica a proteger os clientes e garantir sua segurança.

ÚLTIMOS ARTIGOS

Notícias
Um jovem sentou-se com a cabeça em uma das mãos e segurando um telefone na outra.

E-mails de sextorsão do tipo “Eu gravei você” reutilizam senhas encontradas em caixas de entrada descartáveis

Março 11, 2026

“Seu pervertido, eu gravei você!” Os e-mails de sextorsão incluem senhas reais coletadas de caixas de entrada temporárias de e-mail públicas.

Golpes
Chamadas automáticas na época do imposto de renda

Fique atento às chamadas automáticas durante a temporada de impostos que promovem “programas de auxílio” falsos.

Março 11, 2026

Os golpistas estão visando os americanos com chamadas automáticas durante a temporada de impostos. Veja como identificar o golpe.

Insetos
Logotipo da Microsoft

A atualização de março de 2026 corrige duas vulnerabilidades zero-day

Março 11, 2026

A Microsoft corrigiu 79 vulnerabilidades de segurança este mês, incluindo bugs que poderiam permitir que invasores aumentassem privilégios ou travassem serviços críticos.

Ícone dos colaboradores

Contribuintes

Ícone da Central de Ameaças

Centro de Ameaças

Ícone de podcasts

Podcast

Ícone do glossário

Glossário

Ícone de golpes

Golpes