--- title: "Confia, não sou um robô: Hackers russos escondem malware avançado em CAPTCHAs falsos" author: "Lígia Lemos Maia" date: "2025-10-22 14:59:00-03" category: "Segurança & Privacidade" url: "http://desbugados.scale.press/portal/desbugados/post/2025/10/22/confia-nao-sou-um-robo-hackers-russos-escondem-malware-avancado-em-captchas-falsos/md" --- Confia, não sou um robô: A nova fronteira da espionagem digitalEm um mundo digital onde provar nossa humanidade se resume a um clique em uma caixa, o que acontece quando esse gesto de confiança é pervertido? Quando o ato de afirmar “eu não sou um robô” se torna a porta de entrada para um? Esta não é a premissa de um conto de ficção científica, mas a realidade de uma nova e engenhosa campanha de ciberespionagem orquestrada pelo grupo russo Star Blizzard. Também conhecidos como ColdRiver e ligados ao serviço de inteligência russo (FSB), esses agentes transformaram a verificação mais mundana da internet em uma arma de infiltração, demonstrando uma capacidade de adaptação que desafia observadores e sistemas de defesa. ## A Metamorfose do Espião Digital A agilidade do Star Blizzard é notável. De acordo com um relatório do Google Threat Intelligence Group (GTIG), menos de uma semana após a publicação de uma análise detalhada sobre seu malware anterior, o “LostKeys”, o grupo o abandonou completamente. Em uma demonstração de resiliência e planejamento, apenas cinco dias depois, eles já estavam em campo com um arsenal renovado, implantando suas novas ferramentas, batizadas com nomes que parecem saídos de um dilema existencial de Asimov: NOROBOT, YESROBOT e MAYBEROBOT. Essa velocidade de reestruturação mostra não apenas a capacidade técnica, mas também uma profunda consciência sobre como são vigiados, movendo-se pelas sombras da rede com uma precisão quase coreografada. ## ClickFix: A Ironia de Provar que Você é Humano A nova estratégia, apelidada de “ClickFix”, é uma obra de engenharia social. O ataque começa com páginas falsas de CAPTCHA, aquelas que todos nós encontramos diariamente. A vítima, acreditando estar realizando um procedimento de segurança padrão, é instruída a executar um comando para provar que é humana. A ironia é amarga: o comando, na verdade, inicia a execução do NOROBOT, uma DLL maliciosa que abre as portas do sistema. A empresa de segurança Zscaler, que também analisou a ameaça, se refere a este componente inicial como BAITSWITCH. É um truque de mestre, que explora a automação do nosso comportamento online, transformando um ato de obediência digital em uma vulnerabilidade. Quem de nós pensaria duas vezes antes de clicar para provar nossa própria existência? ## Do Python ao PowerShell: Uma Dança de Evasão A evolução do ataque não parou por aí. Inicialmente, o NOROBOT foi projetado para baixar e instalar uma versão completa do Python 3.8 no sistema da vítima. O objetivo era preparar o terreno para um backdoor baseado em Python, o YESROBOT. No entanto, instalar um ambiente de programação inteiro é um movimento barulhento, um artefato digital que chamaria a atenção de qualquer analista de segurança. Percebendo a falha, o Star Blizzard abandonou o YESROBOT rapidamente. Em seu lugar, adotaram um backdoor mais sutil e eficiente escrito em PowerShell, o MAYBEROBOT, identificado pela Zscaler como SIMPLEFIX. Esta nova ferramenta é drasticamente mais simples e, por isso mesmo, mais perigosa. Segundo o GTIG, o MAYBEROBOT opera com base em três comandos principais: baixar e executar cargas de um URL específico, executar comandos através do prompt de comando e executar blocos arbitrários de PowerShell. Essa simplicidade o torna mais difícil de detectar. Em um movimento recente para aprimorar ainda mais a furtividade, os hackers passaram a dividir as chaves criptográficas da infecção em múltiplos componentes. Para decifrar o payload final, é preciso reunir todas as peças na ordem correta, um quebra-cabeça digital projetado para frustrar a análise forense. ## O Jogo Interminável de Sombras Apesar de sanções, disrupções de infraestrutura e exposições públicas, o Star Blizzard continua sendo uma ameaça ativa e em constante evolução desde 2017. Seus alvos permanecem os mesmos: governos ocidentais, jornalistas, ONGs e think tanks. Os pesquisadores do Google especulam que a mudança de táticas de phishing para o ClickFix pode indicar uma nova fase: re-atacar vítimas já comprometidas para extrair informações adicionais diretamente de seus dispositivos. Este jogo de gato e rato nos força a questionar a natureza da nossa segurança digital. Se até mesmo o ato de provar nossa humanidade pode ser usado contra nós, onde está o terreno seguro? A saga do Star Blizzard é um lembrete melancólico de que, no teatro digital, a confiança é uma moeda valiosa e, muitas vezes, a primeira a ser falsificada.