Informações sobre ameaças

Um download falso do Slack está proporcionando aos invasores um ambiente de trabalho oculto no seu computador

por Stefan Dasic | 16 de abril de 2026
Site falso do Slack distribui malware

Um download do Slack infectado com um trojan, proveniente de um site de typosquatting, está proporcionando aos invasores algo que a maioria dos usuários nem sequer saberia procurar: uma área de trabalho oculta em execução em seus computadores.

O instalador parece legítimo e chega até a abrir uma instância funcional do Slack. Mas, em segundo plano, ele pode criar uma sessão invisível na qual os invasores podem navegar, acessar contas e interagir com o seu sistema sem que nada apareça na tela. Para deixar claro, essa campanha não tem nada a ver com a empresa Slack, e já informamos a eles o que descobrimos.

O Slack conta com dezenas de milhões de usuários ativos diariamente em mais de 200 mil organizações pagantes em mais de 150 países, incluindo 77 das empresas da Fortune 100. Portanto, um instalador infectado com um trojan não representa apenas uma ameaça para a pessoa que o executa, mas também para redes corporativas, contas vinculadas ao SSO e comunicações internas.

Site que se faz passar pelo Slack
Site falso do Slack

O Slack é um daqueles aplicativos que as pessoas instalam sem pensar duas vezes. Ele figura ao lado Chrome do Zoom no panteão dos softwares que os profissionais baixam logo no primeiro dia de um novo emprego, muitas vezes a partir de uma rápida pesquisa no Google, em vez de um link salvo nos favoritos. É isso que o torna uma atração tão irresistível. A marca é instantaneamente reconhecível, o instalador é algo que milhões de pessoas já executaram antes, e toda a experiência de vê-lo sendo configurado parece completamente comum.

Os autores desta campanha registraram o domínio slacks[.]pro (observe o “s” a mais e o domínio de nível superior .pro em vez de .com). O código-fonte do site inclui um manipulador de cliques em JavaScript que intercepta todos os cliques na página e redireciona o navegador para um download hospedado em um domínio separado, debtclean-ua[.]sbs. Os únicos cliques excluídos são os botões de consentimento de cookies; todo o resto aciona o download. Não se trata de um verdadeiro ataque drive-by que explora o navegador silenciosamente, mas chega bem perto: basta um único clique de um usuário distraído.

O que aparece na área de trabalho da vítima é um arquivo chamado slack-4-49-81.exe, um nome que se assemelha tanto à numeração real do Slack que a maioria das pessoas não hesitaria.

Manipulador de clique em JavaScript
Manipulador de clique em JavaScript

Essa não é uma tática desconhecida. Em agosto de 2024, documentamos uma campanha quase idêntica que utilizava anúncios fraudulentos do Google Ads para redirecionar pesquisas no Slack para uma página de download maliciosa. Esses ataques distribuíram o SecTopRAT, um trojan de acesso remoto com recursos de roubo de dados.

Essas campanhas continuam surgindo porque a fórmula funciona: os invasores escolhem uma marca de confiança, registram um domínio convincente e contam com o fato de que a maioria das pessoas não examina minuciosamente um URL quando está apenas tentando se preparar para trabalhar.

Uma instalação real e um carregador oculto, funcionando em paralelo

Eis o que torna essa amostra em particular tão engenhosa: ela não se limita a fingir que está instalando o Slack. Na verdade, ela instala uma cópia funcional do aplicativo enquanto, simultaneamente, executa um carregador de malware em segundo plano. A vítima vê uma tela inicial legítima, observa o Slack aparecer na barra de tarefas e não tem motivos para suspeitar que algo deu errado.

Comprou algo que não devia?

Poucos segundos após o lançamento, slack-4-49-81.exe grava dois arquivos temporários na pasta do usuário %TEMP% pasta. A primeira, slack.tmp, é o isca: um pacote de instalação Squirrel com autoextração. O Squirrel é uma estrutura de atualização legítima e de código aberto integrada a dezenas de aplicativos Electron, incluindo o Slack, o Discord e Teams Microsoft Teams originais. O dropper inclui uma cópia genuína do Squirrel Update.exe juntamente com um pacote NuGet chamado slack-4.49.81-full.nupkg, uma imagem de tela inicial com a marca (background.gif), e um manifesto de lançamento. Quando slack.tmp quando é executado, ele descompacta tudo isso em %LOCALAPPDATA%\SquirrelTemp, lança Update.exe de acordo com uma norma --install sinalizador, e a partir desse ponto, a instalação do Slack prossegue exatamente como se o usuário tivesse baixado o aplicativo de slack.com. O Slack abre, tem uma boa aparência e funciona.

O segundo arquivo, svc.tmp, chega segundos depois. Este é o carregador: um executável separado de cerca de 519 KB incorporado no instalador de 150 MB e extraído para %TEMP% ao lado do arquivo isca. Ele não possui assinatura, identifica-se nos metadados do arquivo executável portátil (PE) como Windows Update Service” da Microsoft Corporation e não tem nenhuma relação com a estrutura Squirrel ou com o aplicativo Slack que está sendo instalado ao lado dele. Quase imediatamente, ele cria um pequeno arquivo chamado loader_log.txt na pasta temporária, confirmando que a fase do carregador foi iniciada, e tenta entrar em contato com um servidor de comando e controle (C2) em 94.232.46.16 na porta TCP 8081.

Enquanto isso, a instalação do Squirrel é concluída e grava uma chave Run no Registro para que o programa continue funcionando após reinicializações: nome do valor com.squirrel.slack.slack sob HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run. Esse é exatamente o nome da chave e o caminho que uma instalação legítima do Slack cria. Um administrador de TI que estivesse verificando as entradas de inicialização automática veria o que parece ser uma instalação normal do Slack e seguiria em frente.

Por dentro do carregador: o que a análise estática revela

Para entender para que o carregador foi projetado assim que obtém um canal C2, examinamos o binário diretamente. As informações de versão PE indicam que se trata de um Serviço de Atualização Windows (nome interno WinSvcUpd.exe), publicado pela Microsoft Corporation, versão 1.4.2.0. Nada disso é verdade. Trata-se de uma manobra de diversão criada para passar despercebida numa lista de processos ou no gerenciador de tarefas.

O arquivo binário é um Windows de 64 bits compilado com o MSVC. Suas sete seções PE possuem nomes aleatórios, como .7ssik, .d1npl, .m6zef, em vez dos arquivos padrão .text e .rdata gerados por compiladores comuns, o que é consistente com o uso de um construtor personalizado ou de uma ferramenta de criptografia. Sua tabela de importação é deliberadamente mínima: 90 funções de KERNEL32.dll e nada mais. Não há importações estáticas para redes, acesso ao registro ou manipulação de processos. Em vez disso, ele resolve essas APIs em tempo de execução usando GetProcAddress e LoadLibraryExW, uma técnica padrão que oculta as reais capacidades do binário da análise da tabela de importação.

Seções de Educação Física
Seções de Educação Física

O que torna essa amostra incomum para um carregador é o quanto ela é "falante" internamente. O binário está repleto de strings de depuração que expõem toda a sua arquitetura, organizadas em subsistemas identificados. Essas strings nunca foram destinadas a serem vistas pela vítima. Trata-se de diagnósticos de desenvolvedor deixados na compilação, e eles nos revelam exatamente para que essa ferramenta foi projetada.

Cadeias de caracteres com prefixo [P1] descreva a primeira fase: o carregador baixa uma carga útil do seu C2 ([P1] Downloading payload...). O próprio download utiliza o WinHTTP, resolvido em tempo de execução. As strings de depuração [HTTP] Connect, [HTTP] Sende [HTTP] Recv rastrear todo o ciclo da solicitação, enquanto [HTTP] winhttp unavailable revela o caminho alternativo caso a biblioteca não possa ser carregada. Ele armazena a carga útil na memória compartilhada por meio das APIs Windows ([P1] Payload in shared memory), e inicia uma segunda cópia de si mesmo como Fase 2 ([P1] Phase-2 launched). A Fase 2 lê a carga útil da memória compartilhada ([P2] Payload copied from shared memory) e o descriptografa. As cadeias de caracteres [CRYPT] Decrypting... e [CRYPT] MZ OK confirmar se a carga útil chega criptografada e é validada como um Windows após a descriptografia. A DLL descriptografada é gravada no disco com um nome de arquivo que corresponde ao padrão wmiprvse_*.tmp, concebido para se misturar aos arquivos temporários criados pelo legítimo Windows Provider Host.

O carregador foi projetado para chamar uma função exportada específica da DLL descriptografada: HvncRun. As cordas [LOAD] Calling HvncRun... e --- HvncClient log --- identificar a carga útil como um cliente HVNC, uma ferramenta de Computação em Rede Virtual Oculta. O HVNC difere de um trojan de acesso remoto convencional em um aspecto fundamental: ele cria uma sessão de área de trabalho totalmente separada e invisível na máquina da vítima. O invasor pode abrir navegadores, acessar portais bancários e interagir com sessões autenticadas sem que nada apareça na tela visível do usuário. Trata-se de uma ferramenta associada principalmente a operações de fraude financeira.

Para executar a carga útil do HVNC de forma oculta, o carregador está preparado para injetar a DLL em explorer.exe utilizando uma técnica conhecida como injeção baseada em seções. As sequências [INJ] === Section-based injection into explorer.exe === e [INJ] Remote thread created in explorer.exe! descreva uma sequência na qual o carregador cria uma seção de memória compartilhada por meio de NtCreateSection, mapeia-o tanto para o seu próprio processo quanto para o Windows , grava o shellcode e o caminho da DLL na região compartilhada e inicia uma thread remota por meio de NtCreateThreadEx. Esta é uma variante da injeção de processos mais difícil de detectar do que a clássica WriteProcessMemory abordagem, pois evita gravar diretamente no espaço de memória do destino. Se as APIs do NT não estiverem disponíveis, o carregador recorre à gravação da DLL no disco e à sua carga direta ([INJ] Required NT APIs not available, falling back to DropAndLoad).

Cordas

O arquivo binário inclui defesas ativas contra análises. A string [AA] Debugger/sandbox detected indica que verifica a observação e altera seu comportamento de acordo com ela. Possui as ferramentas necessárias para isso: IsDebuggerPresent e GetTickCount aparecem na tabela de importação, comumente utilizadas para detecção de depuradores e evasão de sandbox baseada em tempo, embora ambas também sejam importações padrão da CRT em qualquer binário compilado pelo MSVC. A string de depuração é o indício mais claro de que essas APIs são utilizadas intencionalmente.

O que isso significa para quem participou

Se você baixou o Slack de qualquer outro lugar que não seja slack.com recentemente, especialmente de um domínio que termina em .proou que baixasse automaticamente um arquivo ao clicar em qualquer lugar da página, leve isso a sério.

O carregador tenta se conectar ao seu servidor C2 antes que a janela do Slack termine de carregar. Ele foi projetado para usar essa conexão (se estabelecida) para baixar e descriptografar uma carga útil HVNC e injetá-la em explorer.exe para operar a partir do próprio Windows . A instalação do Squirrel cria a mesma chave “Run” que uma instalação legítima do Slack criaria, de modo que a entrada de inicialização automática é indistinguível da de um computador sem infecção. Enquanto isso, o carregador precisa ter sucesso apenas uma vez: se ele baixar a carga útil do HVNC e a injetar no explorer.exe Durante a execução inicial, o invasor consegue estabelecer uma presença que perdura até a próxima reinicialização. A existência de persistência adicional para a carga útil depende das próximas ações do operador C2.

Como se manter seguro

Esta campanha é um exemplo de quanto esforço de engenharia é necessário para parecer algo comum. Um caminho de código instala software real por meio de uma estrutura legítima. O outro executa um carregador multifásico com resolução dinâmica de API, entrega de carga útil criptografada, injeção de processo no Windows e defesas contra análise, tudo compactado em um binário que se identifica como um serviço da Microsoft. O engodo oculta o que está acontecendo, enquanto o carregador dá ao invasor um ponto de apoio.

Salve nos favoritos as páginas oficiais de download dos programas que você usa. Se você se pega pesquisando no Google por “download do Slack” e clicando no primeiro resultado que parece certo, você é exatamente o tipo de pessoa que esta campanha foi criada para atingir.

  • Baixe o Slack apenas pelo site oficial. Acesse diretamente o site slack.com ou use um favorito confiável. Evite clicar em anúncios ou links desconhecidos.
  • Verifique o URL com atenção. Fique atento a pequenas alterações, como letras a mais ou domínios incomuns (por exemplo, “.pro” em vez de “.com”).
  • Tenha cuidado com sites que iniciam downloads ao clicar. Se uma página começar a baixar um arquivo quando você clicar em qualquer lugar, feche-a.
  • Verifique o instalador antes de executá-lo. Clique com o botão direito do mouse no arquivo, verifique suas propriedades e procure por uma assinatura digital válida.
  • Utilize proteção de segurança em tempo real. Uma ferramenta de segurança pode bloquear domínios maliciosos conhecidos e detectar comportamentos suspeitos durante a instalação.
  • Fique atento a comportamentos incomuns após a instalação de software. Atividades de rede inesperadas, lentidão ou processos desconhecidos merecem ser investigados.
  • Se algo parecer suspeito, aja rapidamente. Desconecte-se da internet, execute uma verificação completa e altere suas senhas a partir de um dispositivo não infectado, especialmente as de e-mail, bancos e contas de trabalho.

O que fazer se você tiver sido afetado

  • Desconecte-se da rede imediatamente para encerrar qualquer sessão C2 ativa.
  • Execute uma verificação completa com Malwarebytes.
  • Altere todas as senhas das contas às quais você acessou a partir deste computador. Faça isso em um dispositivo diferente e não comprometido. Dê prioridade às contas de e-mail, bancos e SSO.
  • Se este for um computador da empresa, avise imediatamente a equipe de TI ou de segurança.

Indicadores de Compromisso (IOCs)

Hashes de arquivo (SHA-256)

cfd2e466ea5ac50f9d9267f3535a68a23e4ff62e3fe3e20a30ec52024553c564 (slack-4-49-81.exe)

08fd0a82cdeb0a963b7416cf57446564dfed5de5c6f66dee94b36d28bfefec9d (svc.tmp)

Distribuição

slacks[.]pro

debtclean-ua[.]sbs

Indicadores de rede

94.232.46.16:8081

Prêmio Escolha dos Editores da CNET 2026

“Um dos melhores pacotes de segurança cibernética do mundo.” 

De acordo com a CNET.Leia a resenha deles

Sobre o autor

Stefan Dasic

Stefan Dasic

Apaixonado por soluções antivírus, Stefan está envolvido em testes de malware e controle de qualidade de produtos AV desde muito cedo. Como parte da equipe Malwarebytes , Stefan se dedica a proteger os clientes e garantir sua segurança.

ÚLTIMOS ARTIGOS

Notícias
Logotipo do JDownloader

Os invasores substituíram os downloads do instalador do JDownloader por malware

Maio 15, 2026

O site do JDownloader foi invadido e os links para download do instalador distribuíram malware durante vários dias.

IA
Instagram entre o WhatsApp e Instagram

A nova e confusa abordagem da Meta em relação à privacidade no chat

Maio 15, 2026

O WhatsApp agora oferece conversas com IA que desaparecem, e a Meta afirma que não consegue lê-las. Já Instagram remover o recurso que impedia a Meta de ler suas mensagens.

Privacy
Logotipo do Yahoo Mail

Por que Malwarebytes alguns redirecionamentos do Yahoo Mail

Maio 14, 2026

Alguns usuários do Yahoo Mail podem receber Malwarebytes repetidos Malwarebytes devido a conexões em segundo plano com domínios de terceiros suspeitos. Veja o motivo.

Artigos relacionados

Ícone dos colaboradores

Contribuintes

Ícone da Central de Ameaças

Centro de Ameaças

Ícone de podcasts

Podcast

Ícone do glossário

Glossário

Ícone de golpes

Golpes