){kind=small}
)
Pesquisadores da IBM X-Force identificaram um malware chamado Slopoly, usado em um ataque de ransomware no início de 2026. A descoberta chamou atenção por um detalhe inédito.
O código foi provavelmente gerado por uma inteligência artificial. Isso marca uma virada no modo como criminosos desenvolvem suas ferramentas.
Nossos vídeos em destaque
O que é o Slopoly
O Slopoly é um script PowerShell que funciona como a parte cliente de um framework de comando e controle. Um framework de comando e controle, também chamado de C2, é o conjunto de programas que permite ao atacante enviar ordens e receber respostas de um computador invadido.
O PowerShell é uma linguagem de automação já instalada em todos os computadores com Windows.
O malware foi instalado no computador da vítima dentro da pasta
O nome da pasta imita diretórios legítimos do sistema para não levantar suspeitas: C:\ProgramData\Microsoft\Windows\Runtime\. A persistência foi garantida por uma tarefa agendada chamada "Runtime Broker", que é também o nome de um processo real do Windows, escolhido para se camuflar.
A cada 30 segundos, o Slopoly envia um sinal de atividade ao servidor dos criminosos. A cada 50 segundos, o programa verifica se há algum comando novo para executar. Os comandos são processados pelo prompt de comando do Windows e os resultados são devolvidos ao servidor. O malware ficou ativo no computador da vítima por mais de uma semana.
Como os pesquisadores descobriram que foi feito por IA
Os pesquisadores identificaram diversas características típicas de código gerado por inteligência artificial. O script continha comentários detalhados e bem escritos em todo o código, o que é raro em malwares criados por humanos. Isso porque criminosos geralmente evitam deixar explicações que possam facilitar a análise dos investigadores.
Outros indícios foram o tratamento cuidadoso de erros, o registro organizado de logs e os nomes de variáveis claros e descritivos. Logs são arquivos que registram as ações realizadas pelo programa. O script também continha uma função chamada Jitter que não era utilizada em nenhuma parte do código – algo comum em softwares desenvolvidos de forma iterativa com auxílio de IA.
O próprio código se autodescrevia como um "Polymorphic C2 Persistence Client", ou seja, um cliente de persistência C2 polimórfico. Polimórfico, nesse contexto, significa um programa capaz de alterar seu próprio código durante a execução para escapar de antivírus. Os pesquisadores não encontraram nenhum recurso que permitisse isso.
A IBM acredita que o modelo de linguagem que gerou o script criou uma descrição ambiciosa sem implementar a funcionalidade correspondente.
No entanto, a companhia não conseguiu determinar qual modelo de inteligência artificial foi usado. A qualidade do código sugere que foi produzido por um modelo menos avançado.
Como o ataque acontece
O ataque começou com uma técnica de engenharia social chamada ClickFix. Engenharia social é o nome dado a métodos que manipulam pessoas para que tomem ações prejudiciais sem perceber.
No ClickFix, a vítima acessa um site falso que exibe uma tela parecida com um CAPTCHA de verificação de segurança. Em segundo plano, o site copia um código malicioso para a área de transferência da vítima.
A página instrui a vítima a pressionar Win+R para abrir o menu Executar do Windows, depois Ctrl+V para colar o código e Enter para executá-lo. A vítima acredita estar fazendo uma verificação comum, mas na prática executa um programa malicioso.
Esse primeiro programa instala o NodeSnake, um backdoor baseado em Node.js. Backdoor é um programa que abre um canal secreto de comunicação entre o computador da vítima e os servidores dos criminosos.
Em seguida, o NodeSnake baixa o InterlockRAT, um segundo backdoor mais avançado. Desta vez, a ferramenta é capaz de criar túneis de rede e abrir um terminal remoto no computador da vítima.
O Slopoly foi implantado nas etapas finais do ataque, depois que os criminosos já tinham acesso amplo ao ambiente. Os pesquisadores acreditam que o grupo o usou em uma espécie de teste em ambiente real.
Quem está por trás do ataque
O ataque foi atribuído ao Hive0163, um grupo criminoso com motivação financeira rastreado pela IBM X-Force. O grupo é especializado em roubar grandes volumes de dados de empresas e depois exigir resgate, ameaçando divulgar as informações caso o pagamento não seja feito.
O grupo já foi associado a ataques contra o sistema universitário Texas Tech, a rede de saúde DaVita, a Kettering Health e a cidade americana de Saint Paul, em Minnesota. O ransomware usado nos ataques é o Interlock, que criptografa os arquivos da vítima e adiciona extensões como “.!NT3RLOCK” aos arquivos bloqueados.
Criptografar significa embaralhar os dados de forma que só possam ser recuperados com uma chave secreta em posse dos criminosos. Em cada pasta afetada, o ransomware deixa um arquivo chamado FIRST_READ_ME.txt com as instruções para pagamento do resgate.
O que esse caso representa
A IBM alerta que o uso de IA para criar malware vai além de uma ameaça técnica. Do ponto de vista do código em si, o Slopoly é considerado mediano. O problema está no que ele representa.
Antes, criar um framework C2 do zero exigia habilidade técnica avançada e muito tempo. Com modelos de linguagem, esse esforço diminui drasticamente.
Acompanhe o TecMundo nas redes sociais. Para mais notícias de segurança e tecnologia, inscreva-se em nossa newsletter e canal do YouTube.
)
)
)
)
)
)
)
)
)
)
)
)
)
)
)
)
)
)
)
