Informações sobre ameaças

Downloads falsos do WinRAR escondem malware atrás de um instalador real

por Pieter Arntz | 8 de janeiro de 2026
Cavalo de Troia

Um membro da nossa equipa de pesquisa na web indicou-me um instalador falso do WinRAR que estava ligado a vários sites chineses. Quando esses links começam a aparecer, isso geralmente é um bom indicador de uma nova campanha.

Então, descarreguei o ficheiro e iniciei uma análise, que acabou por ser algo semelhante a uma boneca Matryoshka. Camada após camada, após camada.

O WinRAR é um utilitário popular que é frequentemente descarregado de sites «não oficiais», o que dá às campanhas que oferecem downloads falsos uma maior chance de serem eficazes.

Frequentemente, essas cargas contêm componentes autoextraíveis ou multifásicos que podem descarregar mais malware, estabelecer persistência, exfiltrar dados ou abrir backdoors, tudo dependendo de uma análise inicial do sistema. Portanto, não foi surpresa que uma das primeiras ações desse malware tenha sido aceder a Windows confidenciais Windows na forma de informações Windows .

Isso, juntamente com outras conclusões da nossa análise (veja abaixo), indica que o ficheiro seleciona o malware «mais adequado» para o sistema afetado antes de comprometê-lo ou infectá-lo ainda mais.

Como se manter seguro

É fácil cometer erros quando se procura um software para resolver um problema, especialmente quando se quer uma solução rápida. Algumas dicas simples podem ajudar a mantê-lo seguro em situações como essa.

  • Faça o download de software apenas de fontes oficiais e confiáveis. Evite clicar em links que prometem fornecer esse software nas redes sociais, em e-mails ou em outros sites desconhecidos.
  • Use uma solução antimalware em tempo real e atualizada para bloquear ameaças antes que elas possam ser executadas.

Análise

O ficheiro original chamava-se winrar-x64-713scp.zip e a análise inicial com o Detect It Easy (DIE) já sugeria várias camadas.

Detect It Easy primeira análise
Detect It Easy primeira análise: 7-Zip, UPX, SFX — mais alguma coisa?

Descompactar o ficheiro produzido winrar-x64-713scp.exe que acabou por ser um ficheiro compactado com UPX que exigia o --force opção de descompactá-lo devido a anomalias PE deliberadas. O UPX normalmente aborta a compressão se encontrar valores inesperados ou dados desconhecidos nos campos do cabeçalho do executável, pois esses dados podem ser necessários para que o programa funcione corretamente. O --force A opção diz ao UPX para ignorar essas anomalias e prosseguir com a descompressão de qualquer maneira.

Ao analisar o ficheiro descompactado, o DIE revelou mais uma camada: (Heur)Packer: Compressed or packed data[SFX]. Ao analisar as sequências dentro do ficheiro, reparei em duas RunProgram exemplos:

RunProgram="nowait:\"1winrar-x64-713scp1.exe\" "

RunProgram="nowait:\"youhua163

Estes comandos instruem o arquivo SFX a executar os programas incorporados imediatamente após a extração, sem esperar que ela seja concluída (nowait).

Usando o PeaZip, extraí os dois ficheiros incorporados.

Os caracteres chineses “安装” complicaram a análise da sequência, mas traduzem-se como “instalar”, o que despertou ainda mais o meu interesse. O ficheiro 1winrar-x64-713scp1.exe acabou por ser o instalador real do WinRAR, provavelmente incluído para diminuir as suspeitas de quem executasse o malware.

Depois de remover outra camada, o outro ficheiro revelou-se um ficheiro zip protegido por palavra-passe chamado setup.hta. A ofuscação utilizada aqui levou-me a mudar para a análise dinâmica. A execução do ficheiro numa máquina virtual mostrou que o setup.hta é descompactado em tempo de execução diretamente na memória. O despejo de memória revelou outra string interessante: nimasila360.exe.

Este é um ficheiro conhecido, frequentemente criado por instaladores falsos e associado ao malware Winzipper. O Winzipper é um programa malicioso conhecido em chinês que finge ser um arquivo de ficheiros inofensivo para poder entrar no computador da vítima, muitas vezes através de links ou anexos. Uma vez aberto e instalado, ele discretamente implementa uma porta traseira oculta que permite aos atacantes controlar remotamente a máquina, roubar dados e instalar malware adicional, enquanto a vítima acredita ter simplesmente instalado um software legítimo.

Indicadores de compromisso (IOCs)

Domínios:

winrar-tw[.]com

winrar-x64[.]com

winrar-zip[.]com

Nomes dos ficheiros:

winrar-x64-713scp.zip

youhua163instalação.exe

setup.hta (adicionado em C:\Users\{username}\AppData\Local\Temp)

O componente de proteção web Malwarebytesbloqueia todos os domínios que hospedam o ficheiro malicioso e o instalador.

Malwarebytes o winrar-tw[.]com
Malwarebytes o winrar-tw[.]com

Sobre o autor

Pieter Arntz

Pieter Arntz

Investigador de Inteligência de Malware

Foi um Microsoft MVP em segurança do consumidor durante 12 anos consecutivos. Sabe falar quatro línguas. Cheira a mogno rico e a livros encadernados em pele.

ÚLTIMOS ARTIGOS

Notícias
Verificações de idade

A empresa de verificação de idade Persona deixou a interface exposta, afirmam pesquisadores

fevereiro 20, 2026

Além de uma verificação básica de idade, os investigadores afirmam que o sistema da Persona realiza uma análise exaustiva de identidade, lista de observação e mídia adversa.

IA
Uma mão estende-se para apanhar um asterisco de uma palavra-passe escrita.

As palavras-passe geradas por IA são um risco à segurança

fevereiro 19, 2026

As palavras-passe geradas por IA são «altamente previsíveis» e não são verdadeiramente aleatórias, tornando-as mais fáceis de serem decifradas por cibercriminosos.

Notícias
Tenha logo

A fabricante de produtos íntimos Tenga divulgou dados de clientes

fevereiro 19, 2026

Um ataque de phishing a um funcionário da Tenga pode ter exposto dados de clientes dos EUA. Os clientes devem estar atentos a tentativas de phishing com tema de sextorsão.

Ícone dos contribuidores

Contribuintes

Ícone do Centro de Ameaças

Centro de Ameaças

Ícone de podcasts

Podcast

Ícone do glossário

Glossário

Ícone de burla

Fraudes