Se você pensava que os arquivos de atalho (.lnk) tinham ficado no passado depois dos últimos patches da Microsoft, é hora de redobrar a atenção. Pesquisadores da Forcepoint descobriram uma campanha de phishing em larga escala que distribui o ransomware Global Group — uma operação “silenciosa” que dispensa comunicação com servidores de controle e, por isso mesmo, passa despercebida por muitos antivírus.
O que está acontecendo
O golpe chega por e-mail, geralmente com o assunto “Your document”. O corpo da mensagem é curto e direto, mas o anexo — intitulado Document.zip — esconde um arquivo com nome duplo, como Document.doc.lnk. Ao clicar, o usuário aciona um atalho que executa o cmd.exe ou o PowerShell, baixa o ransomware camuflado como um executável legítimo (por exemplo windrv.exe) e inicia a criptografia dos arquivos locais.
Por que os .lnk voltaram ao radar
Desde que a Microsoft bloqueou macros do Office por padrão, cibercriminosos precisaram reinventar suas iscas. Os .lnk são perfeitos para isso:
- Podem ser disfarçados com double extension — o Windows oculta o “.lnk”.
- Permitem execução silenciosa de comandos Living off the Land (LotL), aproveitando ferramentas nativas como PowerShell.
- São fáceis de gerar em massa, algo valioso em campanhas de phishing de grande volume.
Quem é o Global Group
Lançado em junho de 2025 como um serviço de ransomware (Ransomware as a Service, RaaS), o Global Group é apontado por analistas como um possível rebrand das antigas famílias BlackLock e Mamona. Em seu primeiro mês, a operação já havia listado 17 vítimas em setores variados e mantinha um site de vazamento na rede Tor hospedado em um VPS russo.
Seu diferencial? Funciona em modo totalmente offline. Em vez de buscar chaves de criptografia em servidores externos, o malware gera tudo localmente, o que:
- Diminui rastros de rede, contornando soluções de detecção baseadas em tráfego.
- Permite agir até em ambientes air-gapped (sem acesso à internet).
- Acelera o ataque, já que não perde tempo com exfiltração de dados.
Impacto prático para quem joga ou trabalha em casa
Se você mantém saves de jogos AAA ou projetos de trabalho apenas no SSD principal, um ataque desses pode tornar tudo inacessível em minutos. Por não depender de comunicação externa, o Global Group evita alertas de firewall e dificulta a ação de antivírus tradicionais.
Para quem monta PCs ou compra hardware novo, pensar em backup em unidades externas imutáveis (como SSDs portáteis configurados como somente leitura) ou em storage NAS com snapshots automáticos torna-se tão essencial quanto escolher a GPU ideal para ray tracing.
Imagem: Howard Solom
Como se proteger
A Forcepoint e outros especialistas recomendam uma defesa em camadas:
- Segurança de e-mail: filtros contra arquivos .lnk, verificação de anexos ZIP e análise de comportamento.
- Restrição de PowerShell e ferramentas nativas: bloqueie execução de scripts não assinados.
- EDR (Endpoint Detection & Response): monitore cadeias de processos suspeitos.
- Segmentação de rede: impeça que um PC comprometido paralise toda a infraestrutura.
- Backups isolados e testados: preferencialmente offline ou na nuvem com versionamento.
- Treinamento de usuários: campanhas trimestrais de conscientização e simulações de phishing que ensinem a reportar, não só a “não clicar”.
Por que isso importa para o futuro do seu setup
Com relatórios recentes da Microsoft apontando que ataques de phishing baseados em IA têm taxa de clique 4,5 vezes maior, confiar apenas no “saber o que é certo” não basta mais. Gerenciar credenciais, manter o sistema operacional atualizado e investir em hardware que suporte recursos modernos de segurança (como TPM 2.0 e Secure Boot) é tão estratégico quanto escolher a próxima placa de vídeo.
No fim das contas, o elo mais fraco ainda é o clique descuidado em um “documento” aparentemente inofensivo. Fique atento aos anexos, revise suas rotinas de backup e trate a segurança da informação como parte integrante do seu setup — seja para jogar, criar conteúdo ou trabalhar.
Com informações de Computerworld
