Pesquisadores de segurança da Inteligência de Ameaças da Microsoft emitiram alertas de que hackers estão usando supostas ferramentas para jogos como Xeno e Roblox para entregar RATs (trojans de acesso remoto). Os executáveis baixados parecem legítimos e inofensivos, mas usam diversas táticas furtivas para permanecerem ativos no computador da vítima.
Os arquivos, disfarçados como Xeno.exe ou RobloxPlayerBeta.exe, por exemplo, agem como downloaders que preparam o sistema para a próxima fase de ataque. É instalado um Java runtime portátil que lança o arquivo malicioso jd-gui.jar, usando ferramentas legítimas do Windows, como o PowerShell e binários do sistema como cmstp.exe, para o malware se manter escondido.
Executáveis confiáveis, conhecidos como binários living-off-the-land (LOLbins), permitem que os hackers explorem softwares já presentes no sistema Windows para evitar detecção, já que sua atividade parece ser um processo normal. No malware em questão, o PC da vítima é conectado a servidores remotos, que salvam o arquivo malicioso update.exe e o executam automaticamente.
A Microsoft já foi atualizado e consegue detectar o malware e os comportamentos usados na campanha, mas a empresa ainda recomenda usuários monitorem o tráfego de saída da máquina e bloqueiem conexões aos domínios e IPs listados nos indicadores de comprometimento.
