Pesquisadores descobriram uma campanha significativa onde uma ferramenta de adware assinada digitalmente foi usada para implementar payloads executados com privilégios de SYSTEM, desabilitando efetivamente as proteções antivírus em milhares de endpoints. Esses endpoints abrangem diversos setores, incluindo educação, serviços públicos, governo e saúde. Em um único dia, os pesquisadores observaram mais de 23.500 hosts infectados em 124 países tentando se conectar à infraestrutura do operador, com centenas de endpoints infectados presentes em redes de alto valor. ### Mais do que Apenas Adware Pesquisadores de segurança da **Huntress** descobriram a campanha em 22 de março, observando que executáveis assinados, classificados como programas potencialmente indesejados (PUPs), estavam gerando alertas em vários ambientes gerenciados. PUPs são geralmente considerados um incômodo, gerando receita principalmente por meio de anúncios. No entanto, esta campanha demonstra uma evolução mais sinistra. O software foi assinado por uma empresa chamada **Dragon Boss Solutions LLC**, que, segundo a Huntress, está envolvida em "pesquisa de monetização de busca" e promove várias ferramentas como **Chromstera Browser**, **Chromnius**, **WorldWideWeb**, **Web Genius** e **Artificius Browser**. Essas ferramentas são frequentemente sinalizadas como PUPs por soluções de segurança.  Além dos incômodos típicos de anúncios e redirecionamentos, esses navegadores apresentam um mecanismo de atualização avançado que implementa um "matador de antivírus". ### Desativando a Segurança A Huntress descobriu que a operação utilizou o mecanismo de atualização da ferramenta comercial de autoria **Advanced Installer** para implementar payloads MSI e PowerShell. O arquivo de configuração para o processo de atualização revelou flags indicando uma operação completamente silenciosa, sem interação do usuário. Os payloads foram instalados com privilégios elevados (SYSTEM), impedindo que os usuários desativassem atualizações automáticas e verificassem frequentemente novas atualizações. O processo de atualização recupera um payload MSI (Setup.msi) disfarçado de imagem GIF, que é sinalizado como malicioso no **VirusTotal** por um número limitado de fornecedores de segurança. Este payload MSI inclui DLLs legítimas usadas pelo Advanced Installer para tarefas como execução de scripts PowerShell e identificação de software específico. As instruções para o instalador estão contidas em um arquivo separado chamado '*!_StringData*'. Antes de implementar o payload principal, o instalador MSI realiza reconhecimento, verificando o status de administrador, detectando máquinas virtuais, verificando a conectividade com a internet e consultando o registro em busca de produtos antivírus (AV) instalados da **Malwarebytes**, **Kaspersky**, **McAfee** e **ESET**. Esses produtos de segurança são então desativados usando um script PowerShell chamado *ClockRemoval.ps1*. .jpg) O script *ClockRemoval.ps1* é executado na inicialização do sistema, no logon e a cada 30 minutos, garantindo que os produtos AV sejam removidos parando serviços, encerrando processos, excluindo diretórios de instalação e entradas de registro, executando desinstaladores de fornecedores silenciosamente e excluindo arquivos à força quando os desinstaladores falham. O script também bloqueia domínios de fornecedores modificando o arquivo hosts e fazendo null-routing deles (redirecionando para 0.0.0.0), impedindo a reinstalação ou atualizações dos produtos de segurança. Durante a análise, a Huntress descobriu que o operador não havia registrado o domínio de atualização principal (*chromsterabrowser[.]com*) nem o de fallback (*worldwidewebframework3[.]com*). Isso permitiu que eles fizessem o sinkhole da conexão de hosts infectados. Ao registrar o domínio de atualização principal, a Huntress observou "dezenas de milhares de endpoints comprometidos buscando instruções que, nas mãos erradas, poderiam ter sido qualquer coisa". Com base em endereços IP, os pesquisadores identificaram 324 hosts infectados em redes de alto valor: * 221 instituições acadêmicas na América do Norte, Europa e Ásia * 41 redes de Tecnologia Operacional nos setores de energia e transporte, e em provedores de infraestrutura crítica * 35 governos municipais, agências estaduais e serviços públicos * 24 instituições de ensino primário e secundário * 3 organizações de saúde (sistemas hospitalares e provedores de saúde) * Redes de várias empresas Fortune 500 As tentativas do BleepingComputer de contatar a Dragon Boss Solutions foram malsucedidas, pois o site não está mais operacional. A Huntress alerta que, embora a ferramenta atualmente atue como um "matador de AV", o mecanismo pode introduzir payloads muito mais perigosos. Eles recomendam que os administradores de sistema procurem por assinaturas de eventos WMI contendo "MbRemoval" ou "MbSetup", tarefas agendadas referenciando "WMILoad" ou "ClockRemoval", e processos assinados pela Dragon Boss Solutions LLC. Adicionalmente, revise o arquivo hosts em busca de entradas que bloqueiem domínios de fornecedores de AV e verifique as exclusões do **Microsoft Defender** para caminhos suspeitos como "DGoogle", "EMicrosoft" ou "DDapps".