Alerta de malware Winos 4.0: Proteja seu computador contra instaladores falsos do NSIS

A astuta variante do malware Winos 4.0 explora instaladores NSIS enganosos para realizar ataques em várias etapas. Esse malware manipula até mesmo as configurações de segurança do Windows Defender, criando exceções que lhe dão espaço para operar. As consequências terríveis dessas ações incluem roubo de dados, adulteração de registro e vigilância não autorizada das atividades do seu PC.

Compreendendo os perigos do malware Winos 4.0

O malware Winos 4.0 representa uma família avançada de software malicioso, cujas raízes remontam ao Gh0st RAT. A designação “4.0” não indica uma versão específica, mas reflete sua classificação dentro de uma categoria mais ampla que existe há mais de um ano. Notavelmente, em 22 de maio de 2025, o Rapid7 destacou uma variante do Winos 4.0 que utiliza VPN e instaladores de navegador para implantar seu payload.

O malware inicia uma reação em cadeia implantando um aplicativo NSIS falso, que atua como um arquivo executável corrompido. Os nomes dos instaladores costumam ser inofensivos, como QQBrowser_Setup_x64.exe ou Lets.15.0.exe, aproveitando a confiança do usuário. Essas táticas enganosas e astutas tornam o Winos 4.0 particularmente perigoso. Após a instalação, ele instala furtivamente componentes adicionais, incluindo um inicializador VBScript, um carregador PowerShell, uma DLL maliciosa e arquivos de configuração. O Rapid7 se refere apropriadamente a essa carga útil de vários estágios como o carregador Catena.

Um recurso significativo do Winos 4.0 é sua capacidade de manter a persistência por meio de comandos silenciosos do PowerShell que introduzem exclusões para proteger sua carga útil. Surpreendentemente, esse malware pode permanecer inativo por semanas antes de ser ativado, capturando senhas, informações sobre criptomoedas e manipulando o registro enquanto monitora capturas de tela, transmissões de webcam e áudio de microfone. Operando inteiramente na memória, semelhante ao Remcos RAT, esse malware evita ser detectado por não deixar rastros no seu disco.

Como verificar assinaturas digitais de instaladores

Para proteger seu PC, é fundamental verificar cuidadosamente as assinaturas digitais dos aplicativos antes da instalação. Clique com o botão direito do mouse no aplicativo, navegue até Propriedades -> Assinaturas Digitais e clique em Detalhes -> Exibir Certificado para verificar a autenticidade do instalador.

Verificando a assinatura digital para as propriedades do arquivo instalador do QQBrowser.

A imagem acima ilustra a verificação da assinatura digital do QQBrowser, que, apesar da disponibilidade de variantes maliciosas com instaladores falsos do NSIS, possui uma assinatura válida da Tencent Technology, a desenvolvedora legítima do aplicativo.

Medidas essenciais de segurança do Windows

Apesar da capacidade astuta do Winos 4.0 de enganar o Windows Defender, há muitas medidas que você pode adotar no aplicativo Windows Security para reforçar suas defesas.

Para impedir a execução de instaladores NSIS, inicie o PowerShell no modo de administrador e execute o comando abaixo, o que reduz efetivamente a Área de Superfície de Ataque (ASR) sem implementar uma proibição geral.

Set-MpPreference -AttackSurfaceReductionRules_Ids 3B576869-A4EC-4529-8536-B80A7769E899 -AttackSurfaceReductionRules_Actions Enabled

Usando o PowerShell para reduzir a Área de Superfície de Ataque (ASR) de instaladores NSIS falsos.

Em seguida, acesse o aplicativo Segurança do Windows. Navegue até Proteção contra Vírus e Ameaças -> Configurações de Proteção contra Vírus e Ameaças -> Gerenciar Configurações, certificando-se de que a Proteção em Tempo Real esteja ativada.

A Proteção em Tempo Real é ativada nas configurações de Proteção contra Vírus e Ameaças do Windows Security.

Além disso, em Proteção contra Vírus e Ameaças, role até Gerenciar Proteção contra Ransomware. Se o Acesso Controlado a Pastas estiver desabilitado, reative-o. Você também pode colocar aplicativos confiáveis na lista de permissões por meio da opção Permitir um Aplicativo Através do Acesso Controlado a Pastas.

Garantir que o Acesso Controlado à Pasta esteja ativado nas configurações de Proteção contra Ransomware do Windows Security.

Implementar essas proteções fundamentais de segurança do Windows é uma primeira linha de defesa eficaz. Usuários avançados também podem considerar fortalecer suas configurações de firewall para bloquear especificamente o malware WinOS 4.0.

Impedindo que o Winos 4.0 faça exclusões no Windows Defender

Uma das táticas insidiosas empregadas pelo Winos 4.0 é a formação de exclusões nos protocolos de verificação do Windows Defender. Você pode tomar medidas proativas para impedir essa ameaça.

Abra o PowerShell no modo de administrador e use o comando abaixo para adicionar políticas de execução que restrinjam scripts nocivos. Pressione A para confirmar.

Set-ExecutionPolicy -Scope CurrentUser -ExecutionPolicy Restricted

Política de execução restrita para impedir que aplicativos aleatórios façam alterações por meio de scripts do PowerShell.

Para restringir exclusões não autorizadas em todas as unidades, execute o seguinte comando no PowerShell:

Remove-MpPreference -ExclusionPath C:\, D:\, E:\, F:\, G:\, H:\, I:\, J:\, K:\, L:\, M:\, N:\, O:\, P:\, Q:\, R:\, S:\, T:\, U:\, V:\, W:\, X:\, Y:\, Z:

Impedindo exclusões não autorizadas do PowerShell para todas as letras de unidade.

Detectando entradas NSIS falsas com autoruns

Utilizar uma ferramenta da Microsoft chamada Autoruns pode ajudar a rastrear programas de inicialização indesejados, incluindo entradas NSIS suspeitas. Este método está entre as maneiras mais eficazes de identificar o Winos 4.0 e impedir sua execução.

Comece baixando o arquivo ZIP do Autoruns da página da Sysinternals. A instalação é desnecessária; basta descompactar o arquivo e clicar duas vezes em Autoruns64 (para sistemas Windows 64).Isso fornece uma visão geral dos logons ativos, tarefas agendadas e processos. Procure entradas sinalizadas em vermelho e monitore atentamente quaisquer entradas relacionadas ao NSIS que sejam destacadas.

Instaladores legítimos de aplicativos do Windows geralmente escapam a suspeitas. Depois de navegar pelo SmartScreen (que deve permanecer ativado) e passar pelas verificações de segurança do Windows, os usuários geralmente presumem que esses aplicativos são seguros — essa suposição abre caminho para o malware Winos 4.0. Garantir uma blindagem robusta para sua janela do PowerShell, restringindo a execução de scripts, pode melhorar significativamente sua defesa. Utilize serviços como o VirusTotal para analisar pacotes de instalação em busca de potenciais ameaças de malware.

Perguntas frequentes

1. O que é o malware Winos 4.0 e como ele infecta meu sistema?

O Winos 4.0 é uma forma avançada de malware derivada do Gh0st RAT, que normalmente infecta sistemas por meio de instaladores NSIS enganosos disfarçados de aplicativos legítimos. Uma vez instalado, ele pode executar um ataque em várias etapas, levando ao roubo de dados e à vigilância.

2. Como posso proteger meu computador contra o malware Winos 4.0?

Proteja seu computador verificando as assinaturas digitais de todos os instaladores, ativando as proteções de segurança do Windows, impedindo exclusões não autorizadas no Windows Defender e usando ferramentas como o Autoruns para detectar entradas suspeitas.

3. Quais são os sinais de que meu computador pode estar infectado com malware?

Os sinais de infecção podem incluir lentidão incomum do sistema, programas não reconhecidos na inicialização, comportamento inesperado de aplicativos instalados ou travamentos frequentes do sistema. Se você suspeitar de infecção, é crucial verificar seu sistema imediatamente com um software antivírus confiável.

Fonte e Imagens