Malware RAT via Windows Explorer coloca criptomoedas em risco

A Cofense Intelligence revela como atores de ameaça abusam do Windows File Explorer e servidores WebDAV para contornar a segurança do navegador e distribuir RATs para alvos corporativos.

Atores de ameaça encontraram uma maneira de enviar malware diretamente para máquinas corporativas sem passar por um navegador. A Cofense Intelligence publicou descobertas em 25 de fevereiro de 2026, revelando uma campanha ativa que utiliza a capacidade integrada do Windows File Explorer de se conectar a servidores WebDAV remotos. A tática evita completamente os avisos padrão de download do navegador. A maioria dos usuários nem sabe que o File Explorer pode se conectar a servidores na internet.

WebDAV é um antigo protocolo de gerenciamento de arquivos baseado em HTTP. Poucas pessoas o usam atualmente. Mas o Windows ainda o suporta nativamente no File Explorer, mesmo após a Microsoft descontinuar o recurso em novembro de 2023. Essa lacuna entre a descontinuação e a remoção total é exatamente o que os atacantes estão explorando.

Quando uma Pasta Não é Realmente uma Pasta

Segundo a Cofense Intelligence, no relatório publicado, o volume da campanha apareceu pela primeira vez em fevereiro de 2024, e depois teve um pico acentuado em setembro de 2024. Desde então, permanece ativa. Os ataques não diminuíram. 87% de todos os Relatórios de Ameaças Ativas relacionados a essa tática entregam múltiplos cavalos de Troia de acesso remoto como carga final. XWorm RAT, Async RAT e DcRAT são os mais frequentes.

Leitura obrigatória: Violação de Segurança em Criptomoedas: Hacks de Janeiro Totalizam 86 Milhões de Dólares, Phishing Dispara

Como a Ataque Realmente Funciona

Vítimas recebem e-mails de phishing, muitas vezes disfarçados de faturas em alemão. Os e-mails carregam arquivos de atalho URL (.url) ou arquivos de atalho LNK (.lnk). Ambos podem abrir silenciosamente uma conexão WebDAV dentro do File Explorer. O usuário vê o que parece ser uma pasta local. Mas não é.

O que torna isso particularmente perigoso é a cadeia que se segue. Scripts baixam scripts adicionais de servidores WebDAV separados. Arquivos legítimos se misturam com maliciosos para dificultar a detecção. Quando um RAT é entregue, o caminho de entrega passou por várias camadas de obfuscação. Ferramentas de segurança que escaneiam downloads do navegador perdem toda a sequência.

O relatório da Cofense observa que 50% de todas as campanhas afetadas são em alemão. Campanhas em inglês representam 30%. Italiano e espanhol completam o restante. Essa divisão aponta diretamente para contas de e-mail corporativas europeias como o principal alvo.

Você Também Pode Gostar: npm Worm Rouba Chaves de Criptomoedas, Alvo de 19 Pacotes

O Cloudflare Tunnel está realizando grande parte do trabalho para os atacantes aqui. Todas as ATRs relacionadas a essa tática usam contas de demonstração gratuitas no trycloudflare[.]com para hospedar os servidores WebDAV maliciosos. A infraestrutura do Cloudflare roteia a conexão da vítima. Isso faz o tráfego parecer legítimo na primeira inspeção. As contas de demonstração são de curta duração por design, então os atores de ameaça as removem rapidamente após a campanha entrar em ação, cortando análises forenses.

Por que os Detentores de Criptomoedas Estão em Risco Grave

É aqui que fica perigoso para quem possui ativos digitais. RATs como XWorm e Async RAT oferecem aos atacantes acesso remoto persistente a uma máquina infectada. Isso significa que conteúdos da área de transferência, sessões do navegador, senhas salvas e arquivos de carteiras de criptomoedas estão ao alcance. O sequestro da área de transferência, método já ligado a roubos de centenas de milhões em criptomoedas, torna-se trivial uma vez que um RAT está em execução.

Perdas por phishing sozinhas ultrapassaram 300 milhões de dólares em janeiro de 2026, segundo dados de monitoramento de segurança. Esse valor supera as perdas por hacks em protocolos no mesmo período. Os métodos de ataque documentados pela Cofense alimentam diretamente esse fluxo. Um RAT entregue via WebDAV em um computador de um funcionário de uma equipe financeira não é apenas um problema de TI corporativa. É um caminho direto para carteiras esvaziadas e chaves roubadas.

Também Vale Sua Atenção: À medida que as Ameaças Aumentam, a Segurança de Carteiras de Criptomoedas Será Prioridade Máxima em 2026

O que as Organizações Precisam Fazer Agora

O relatório da Cofense recomenda procurar por tráfego de rede para instâncias de demonstração do Cloudflare Tunnel especificamente. Ferramentas EDR com análise comportamental devem sinalizar arquivos .URL e .LNK que se conectam a servidores remotos. A solução mais difícil é a educação do usuário. A maioria das pessoas simplesmente não sabe que a barra de endereço do File Explorer funciona como um navegador.

Verificar da mesma forma que verificariam uma URL suspeita é a primeira linha de defesa. Abusos semelhantes podem ocorrer via FTP e SMB. Ambos os protocolos são usados regularmente em empresas e podem alcançar servidores externos. A superfície de ataque que a Cofense está documentando é mais ampla do que apenas WebDAV.

Relacionado: Hacks e Incidentes de Segurança em 2025: Um Ano que Expos as Fraquezas do Cripto

A análise técnica completa, incluindo tabelas de IOC e exemplos de domínios do Cloudflare Tunnel ligados a relatórios específicos de Ameaças Ativas, está disponível no relatório da Cofense Intelligence publicado em cofense.com.