Gamers, fiquem ligados: existe um malware que pode se disfarçar…

… de softwares da Nvidia! Em geral, os malwares (pragas digitais) geralmente são concebidas com o objetivo de infectar o maior número de máquinas possível e por isto, a plataforma Windows se tornou o alvo preferido destas ameaças, em vista da sua grande “popularidade” (bem diferente da realidade dos sistemas GNU/Linux, há muitos anos). Esta lógica também é aplicável para os softwares que são atrelados aos hardwares populares, como é o caso das placas de vídeo da Nvidia, as quais estão em quase 90% das máquinas voltadas para jogos…

“A previously undocumented Rust-based remote access trojan, dubbed LabubaRAT, which masquerades as legitimate NVIDIA software to establish persistent access on Windows systems. The malware was identified by the company’s Adversary Pursuit Group (APG) and appears designed as a reusable, panel-managed framework rather than a single-purpose payload. The observed sample, named nvidia-sysruntime.exe, impersonates an NVIDIA Container Runtime component through its version metadata, debug artifacts, mutex naming, and local database files.”

— by gbhackers.

Pesquisadores da Blackpoint Cyber (Adversary Pursuit Group) identificaram um novo trojan de acesso remoto batizado de LabubaRAT, que se disfarça de software legítimo da Nvidia para obter acesso persistente a sistemas Windows. O executável analisado (nvidia-sysruntime.exe), imita um componente do Nvidia Container Runtime por meio de metadados de versão, artefatos de depuração, nomenclatura de mutex e arquivos de banco de dados locais, para se camuflar em ambientes onde softwares da NVIDIA são comuns.

Apesar da fachada, trata-se de um backdoor não assinado de 64 bits construído em Rust, com timestamp de compilação de junho de 2026 e vestígios de build que expõem sua verdadeira natureza. Diferente de malwares com C2 fixo, essa ameaça aceita configuração no momento da implantação, através de uma série de parâmetros podem ser passados via linha de comando ou variáveis de ambiente, além de um parâmetro que decodifica argumentos em Base64 para ocultar configurações dentro de comandos de persistência.

Antes de receber instruções dos operadores, o malware faz um reconhecimento do endpoint infectado, coletando dados como nome do host, modelo de CPU, memória, endereço IP, associação a domínio, status do UAC e inventário de navegadores. Ele também verifica a presença de soluções de segurança conhecidas (Defender, CrowdStrike, SentinelOne, Sophos, Bitdefender, Kaspersky, entre outras) para ajudar os invasores a adaptar suas ações à postura defensiva do ambiente.

Em termos de comunicação, o LabubaRAT suporta três canais: HTTPS padrão, comunicação via WebView2 (usando JavaScript embutido) e tunelamento DNS, oferecendo alternativas caso o tráfego web direto seja bloqueado. Suas capacidades incluem execução de shell do Windows, PowerShell e JavaScript, captura de tela, upload/download/exclusão de arquivos e suporte a proxy SOCKS5. A persistência é obtida por meio da chave de registro HKCU\Run combinada com parâmetros de inicialização codificados em Base64.

Os pesquisadores alertam que essa descoberta ilustra a evolução de malwares em Rust para frameworks flexíveis e multi-transporte, recomendando que times de defesa monitorem executáveis suspeitos com nome da Nvidia, além das entradas incomuns em chaves de registros armazenadas em HKCU\Run, anomalias de DNS e os indicadores de comprometimento associados (hash do arquivo, caminho do PDB, banco de dados nvctr_sys.db e infraestrutura ligada ao “LabubaPanel”).

Se antes, já gostava muito das soluções alternativas oferecidas pela AMD… &;-D

Leave a Comment