Uma nova campanha maliciosa tem se disfarçado de versões legítimas do WPS Office e da IA DeepSeek para infectar computadores e roubar dados, afetando principalmente usuários chineses.
De acordo com o TecMundo, hackers vinculados ao grupo Silver Fox (também chamado Void Arachne) criaram sites falsos que oferecem downloads modificados dessas ferramentas populares — WPS Office e DeepSeek — com malwares embutidos
A prisão do esquema começa na instalação das versões alteradas, que incluem o trojan Sainbox RAT (variação do Gh0stRAT) e rootkit que se oculta no sistema, dificultando sua remoção . O rootkit garante persistência ao registrar serviços ocultos, enquanto o RAT oferece controle remoto total para os invasores . O impacto inclui roubo de dados sensíveis e abertura de portas para ações maliciosas futuras.
O ataque é sofisticado: além de instalar o software legítimo para parecer autêntico, o instalador malicioso compartilha componentes por meio de DLL sideloading, usando a real “Shine.exe” para carregar código malicioso disfarçado como “libcef.dll”
Dica de prevenção
Faça download apenas de fontes oficiais: utilize sites da WPS Office e DeepSeek originais.
Verifique a URL e presença de HTTPS antes de baixar qualquer software.
Mantenha sistema e antivírus sempre atualizados para identificar RATs e rootkits.
Monitore processos e drivers suspeitos, especialmente executáveis não autorizados sendo carregados no startup.
Campanhas como essa demonstram que humanos confiam demais nos downloads populares — e pagam caro. Priorizar fontes oficiais, manter ambientes atualizados e adotar monitoramento de processos são essenciais para fugir desse tipo de ameaça.
👉 A LC SEC oferece serviços completos de pesquisa de ameaças, hardening de endpoints e monitoramento continuo para evitar infecções sofisticadas. Conheça nossas soluções em lcsec.io