Barulhento, agressivo e óbvio, o ransomware foi o tipo de malware que mais tirou o sono dos usuários por muitos anos: roubando ou encriptando arquivos e pedindo resgate em bitcoins, esse tipo de golpe caiu em 38%, segundo o relatório The Red Report 2026. As novas ameaças são parasitas que se infiltram no PC e ganham acesso persistente, completamente furtivo.
O objetivo dos novos vírus é “morar” no computador, ler os e-mails, roubar os cookies de sessão, usar o processamento da máquina para minerar bitcoins ou alimentar chatbots fraudulentos (LLMjacking) e muito mais, tudo no mais absoluto silêncio. Mas como eles fazem isso? Para explicar, vamos ter que mergulhar no funcionamento dos antivírus modernos.
Teste de Turing reverso
Os antivírus comuns usam o que chamamos de sandbox, uma “caixa de areia” que nada mais é do que uma máquina virtual, um computador falso onde qualquer arquivo suspeito é colocado para ter o comportamento monitorado. Caso aja maliciosamente, sabemos que é um malware, que o antivírus logo trata de excluir.
–
Entre no Canal do WhatsApp do Canaltech e fique por dentro das últimas notícias sobre tecnologia, lançamentos, dicas e tutoriais incríveis.
–
Para contornar o problema, os hackers fazem com que o malware seja capaz de detectar o ambiente: “estou em um PC de verdade, controlado por um humano, ou numa armadilha de antivírus?”.
Para isso, o arquivo malicioso fica dormente, observando o comportamento dos periféricos. Se não for detectado comportamento humano genuíno — um “teste de Turing reverso”, o vírus não é ativado, enganando as defesas e posando como um arquivo inofensivo.
Trigonometria aplicada ao mouse
Malwares como o LummaC2 não apenas vêem onde o mouse está, mas calculam os vetores e ângulos da movimentação do cursor. Em sandboxes, ele pula do ponto A ao ponto B instantaneamente ou em linhas retas perfeitas, enquanto um humano faz movimentos em arco, curvas suaves, acelerações e desacelerações constantes.
Com funções trigonométricas, o malware consegue analisar os arcos com precisão de milissegundos: se a matemática disser que o movimento é robótico, o agente se autodestrói ou permanece inerte. Outra tática é o keylogging dinâmico, que nota se a senha em um campo é colada instantaneamente ou digitada em um ritmo considerado humano.
Camuflagem de tráfego
Outro desafio dos malwares é o envio dos dados roubados sem que o firewall detecte a movimentação. Para isso, são usados domínios legítimos e confiáveis como os da OpenAI e Amazon Web Services (AWS).
O administrador da rede vê o tráfego saindo e acredita que o usuário está apenas usando o ChatGPT, mas, na verdade, é um vírus extraindo gigabytes de dados privados ou corporativos por uma porta que ninguém ousa fechar.
Os antivírus tradicionais estão perdendo essa guerra, mas há esperança: alguns aplicativos de proteção, como os EDR e XDR, são comportamentais, ou seja, usam de um raciocínio tão poderoso quanto o dos vírus para procurar por anomalias sutis, como uso excessivo de processador quando deveria estar ocioso e outros sinais indiretos da atuação maliciosa.
Se escanear arquivos conhecidos não funciona, é preciso ir além na corrida armamentista dos malwares.
Leia também:
- Notepad++ finalmente corrige bug que permitia invasão de malware por atualização
- 287 extensões do Chrome estão roubando dados de 37 milhões de usuários
- Páginas falsas de CAPTCHA enganam usuários para instalar malware
Leia a matéria no Canaltech.
