Falso Instalador do Roblox Está Infectando PCs com Trojan Invisível ao Antivírus
O alerta veio da Microsoft — e é sério o suficiente para chamar atenção de qualquer pessoa que joga no PC. Pesquisadores da Inteligência de Ameaças da Microsoft identificaram uma campanha ativa de hackers que estão distribuindo trojans de acesso remoto disfarçados de ferramentas conhecidas no universo gamer, incluindo um falso instalador do Roblox.
A tática é simples na aparência, mas tecnicamente sofisticada por baixo dos panos.
A isca: nomes que os jogadores reconhecem
Os arquivos maliciosos circulam com nomes como RobloxPlayerBeta.exe e Xeno.exe — referências diretas ao Roblox e à ferramenta Xeno, conhecida em comunidades de jogos. Quem baixa esses arquivos em grupos, chats ou sites não oficiais acredita estar instalando algo legítimo.
O que acontece por trás é diferente. O executável funciona como um downloader silencioso: ele instala um Java runtime portátil no sistema da vítima e carrega um arquivo chamado jd-gui.jar, o coração da infecção. A partir daí, o ataque ganha autonomia.
Como o malware se esconde tão bem
A técnica usada pelos hackers tem nome: living-off-the-land. Em vez de instalar ferramentas externas suspeitas, o malware usa recursos que já existem no Windows — como o PowerShell e o binário cmstp.exe — para executar suas ações. Para os antivírus, tudo parece um processo normal do sistema operacional.
Uma vez instalado, o PC da vítima se conecta automaticamente a servidores remotos que entregam um arquivo chamado update.exe e o executam sem nenhuma interação do usuário. Um dos domínios envolvidos no ataque, identificado como powercatdog, é responsável por apagar os rastros do downloader original e, num movimento particularmente agressivo, adicionar exceções no próprio Microsoft Defender para que os componentes do trojan não sejam bloqueados pelo antivírus nativo.
Para garantir que o ataque sobreviva a reinicializações, um script chamado word.vbs é configurado para rodar automaticamente toda vez que o computador é ligado. O malware literalmente se agenda no sistema.
O que a Microsoft está fazendo — e o que ainda depende de você
A Microsoft confirmou que o Defender já foi atualizado para detectar esse malware e os comportamentos associados à campanha. Mas a empresa não se limitou ao update silencioso: o comunicado oficial recomenda que usuários monitorem o tráfego de saída da máquina e bloqueiem conexões aos domínios e IPs listados nos indicadores de comprometimento divulgados pela própria Microsoft.
A comunidade gamer reagiu com preocupação, especialmente porque o Roblox tem uma base massiva de jogadores jovens — exatamente o público mais propenso a baixar arquivos de grupos no Discord, Telegram ou sites de mods sem verificar a procedência.
O que muda daqui para frente
Ataques desse tipo mostram uma tendência crescente: hackers estão mirando jogadores como vetor de entrada, aproveitando a cultura de compartilhamento de ferramentas, cheats e atalhos que existe em comunidades de jogos. O Roblox não é o único alvo — qualquer jogo popular com ecossistema de mods e ferramentas de terceiros pode ser usado como disfarce.
A recomendação é direta: baixe ferramentas relacionadas a jogos apenas de sites oficiais. Qualquer arquivo compartilhado em grupos, mesmo por pessoas conhecidas, representa um risco real enquanto campanhas desse tipo estiverem ativas.
Fonte: https://canaltech.com.br/seguranca/hackers-disfarcam-trojan-letal-em-instalador-falso-de-roblox
