Se você trabalha com orçamentos, notas fiscais ou contratos, provavelmente abre dezenas de PDFs por semana sem pensar duas vezes. Mas uma nova campanha de phishing batizada de Dead#Vax quer transformar esse hábito em porta de entrada para invasores. Em vez de anexar o PDF direto no e-mail, os criminosos enviam um link para baixar um arquivo VHD – um disco rígido virtual que, ao ser aberto, é montado no Windows como se fosse um pendrive. Dentro dele está um arquivo com ícone e nome de PDF, mas que, na verdade, executa um script malicioso e instala o AsyncRAT, um trojan de acesso remoto capaz de assumir o controle total da máquina.
Como o truque burla as defesas do Windows
Discos virtuais (VHD/VHDX) são usados há anos por administradores para clonar sistemas ou manter backups. Quando você clica neles, o Windows monta a unidade automaticamente — e é justamente aí que a engenharia social faz efeito:
- IPFS como “nuvem” descentralizada – O link do e-mail aponta para o InterPlanetary File System, rede P2P que permite armazenar dados fora de servidores convencionais, dificultando o bloqueio por filtros corporativos.
- Extensão oculta – O Windows esconde “.wsf” por padrão. O usuário vê algo como pedido_031023.pdf, clica e, em vez de abrir o Reader, executa um script.
- Bypass em políticas – Como o arquivo não chega por anexo, soluções de e-mail que analisam PDFs ou arquivos compactados não detectam o malware.
O que o AsyncRAT faz no seu PC
Depois de ativado, o trojan abre um canal criptografado com o cibercriminoso e pode:
- Keylogar senhas de serviços bancários ou a senha principal do seu launcher de jogos.
- Abrir câmera e microfone, gravando vídeo e áudio sem autorização.
- Instalar módulos adicionais, como mineradores de criptomoeda, que consomem processamento da sua CPU e GPU — impacto direto no desempenho em games e renderização.
Medidas práticas de proteção
Especialistas da Malwarebytes Labs sugerem três passos rápidos que qualquer usuário de Windows pode adotar agora mesmo:
- Exibir extensões de arquivo: Vá em Opções de Pasta > Modo de Exibição e desmarque “Ocultar extensões de tipos de arquivo conhecidos”. Assim, você verá .wsf ou .vhd em vez de “PDF”.
- Bloquear montagem automática: Em ambientes corporativos, políticas de grupo podem restringir a abertura de VHDs baixados da internet.
- Refinar a segurança endpoint: Antivírus com detecção de comportamento e EDR identificam scripts fora do padrão. Para uso doméstico, suites como Bitdefender Total Security ou uma chave de segurança física FIDO2 (fácil de encontrar na Amazon) adicionam camadas extras de defesa.
Por que o golpe deve crescer em 2024
Campanhas que exploram o costumeiro PDF têm alto índice de abertura. Com discos virtuais, os atacantes contornam filtros e exploram a confiança no formato. Além disso, IPFS ganha popularidade em comunidades legítimas de NFTs e Web3, fornecendo “capa” para arquivos nocivos.
Imagem: Maxwell Cooter
Para quem monta PCs de alto desempenho ou depende da máquina para trabalho remoto, o prejuízo é duplo: perda de dados e redução de performance. Manter o sistema e os drivers de GPU atualizados, usar soluções antimalware pagas (facilmente adquiridas na Amazon) e adotar hábitos de zero-trust ao lidar com anexos continuam sendo o melhor investimento.
Com informações de Computerworld
