Malware “SCRRC4ryuk” desativa o Microsoft Defender

Uma nova e sofisticada campanha de malware para Windows está circulando ativamente, explorando engenharia social e abuso de recursos legítimos do sistema operacional para desativar o antivírus Microsoft Defender e, em seguida, instalar ferramentas maliciosas poderosas como Amnesia RAT (Remote Access Trojan). Hoje eu trouxe para vocês o artigo “Malware “SCRRC4ryuk” desativa o Microsoft Defender”. Acesse o site da Uni Academy (https://uniacademy.com.br/) e conheça todos os meus cursos. Não esqueça de me seguir no Instagram, conhecer meu Site, se inscrever no meu Canal do Youtube, deixar o seu like e compartilhar esse artigo, para fortalecermos a nossa comunidade. Um grande abraço e boa leitura.

Malware “SCRRC4ryuk” desativa o Microsoft Defender

Como o malware funciona: nomes e técnicas

Pesquisadores de segurança que analisaram a campanha observam que a cadeia de ataque inicia com um arquivo de atalho malicioso (.LNK) disfarçado de documento de negócios. Quando executado pelo usuário, esse atalho aciona um script PowerShell que baixa e carrega um loader inicial ofuscado a partir de repositórios públicos em nuvem, como GitHub.

Esse loader em seguida invoca um VBScript codificado — identificado tecnicamente como SCRRC4ryuk.vbe — que é o verdadeiro componente malicioso principal dessa campanha. Esse script:

Neutraliza o Microsoft Defender por meio de técnicas que alteram configurações de segurança e registram um falso produto antivírus para enganar o sistema.
Executa mecanismos de persistência e comunicação com servidores de comando via Telegram Bot API.
Desdobra carga útil adicional no sistema, incluindo o Amnesia RAT, um trojan de acesso remoto capaz de roubar senhas, tokens de sessão e monitorar atividades.

Desativando o Microsoft Defender com abuso legítimo

Uma parte crítica da campanha é a utilização de técnicas que enganam o Windows para desabilitar o Defender automaticamente. Em vez de matar diretamente os processos de segurança, o malware registra um “antivírus falso” usando um toolset de teste chamado Defendnot, aproveitando um mecanismo interno do Windows Security Center: quando o sistema detecta mais de um produto de proteção ativo, tende a desativar o Microsoft Defender para evitar conflitos.

Essa abordagem permite que o malware mantenha o sistema desprotegido sem alertas visíveis ao usuário, abrindo espaço para a execução de estágios subsequentes.

Ameaças pós-infecção: Amnesia RAT e exfiltração de dados

Após desativar o Defender, SCRRC4ryuk prossegue com uma série de módulos maliciosos:

Amnesia RAT — um trojan de acesso remoto que captura dados sensíveis, como credenciais de navegadores Chromium e tokens de sessão de aplicativos de mensagens, incluindo Telegram. Ele também monitora áreas críticas do sistema para coletar informações confidenciais.
Surveillance e exfiltração — componentes que enviam capturas de tela e dados do usuário para servidores remotos, permitindo ações maliciosas adicionais ou chantagem.
Bloqueio de ferramentas administrativas — o malware bloqueia acesso ao Gerenciador de Tarefas e ao Editor de Registro, além de desabilitar o Ambiente de Recuperação do Windows, dificultando a remoção.

Impacto e recomendações de proteção

Especialistas alertam que esta campanha representa um nível elevado de ameaça porque:

Não depende de vulnerabilidades de dia zero, mas sim de engenharia social e abusos de funcionalidade legítima.
Usa plataformas públicas para hospedar componentes, tornando mais difícil a detecção prévia.
Neutraliza a proteção nativa do Windows antes de comprometer o sistema.

Para mitigar o risco, especialistas recomendam:

Evitar abrir arquivos suspeitos ou inesperados, especialmente atalho (.LNK) ou ZIP de origem duvidosa.
Manter o Windows e o Microsoft Defender atualizados, com proteção em tempo real e políticas de bloqueio reforçadas.
Considerar soluções de segurança complementares e detecção comportamental para capturar scripts e atividades não tradicionais.

A descoberta do malware SCRRC4ryuk revela como ameaças modernas estão se tornando cada vez mais sofisticadas, combinando abuso de recursos legítimos do Windows com capacidades de evasão e roubo de dados avançados. Essa campanha sublinha a importância de uma defesa em profundidade, treinamento contínuo de usuários para reconhecer engenharia social e o uso de ferramentas adicionais além do antivírus padrão para proteger ambientes Windows.

Acesso Black!

Todos os meus Cursos em um único lugar.

Clique AQUI e se torne um aluno Black.

Cursos preparatórios para Certificações

Escolha umas das certificações a seguir e seja aprovado em até 4 semanas:

Cursos de Especialização

Clique AQUI e garanta a sua Vaga!

Wellington Agápto

Malware “SCRRC4ryuk” desativa o Microsoft Defender

Malware “SCRRC4ryuk” desativa o Microsoft Defender

Como o malware funciona: nomes e técnicas

Desativando o Microsoft Defender com abuso legítimo

Ameaças pós-infecção: Amnesia RAT e exfiltração de dados

Impacto e recomendações de proteção

Acesso Black!

Cursos preparatórios para Certificações

Cursos de Especialização

Microsoft define prioridades de segurança para 2026

Microsoft planeja aposentar o NTLM

Tendências de Cibersegurança para 2026

Microsoft define prioridades de segurança para 2026

Microsoft planeja aposentar o NTLM

Principais notícias de Segurança da Informação da semana: MFA obrigatório, falhas críticas e avanço da IA na defesa cibernética

Novas políticas de segurança do Microsoft Teams entram em vigor

Boas práticas de segurança para o Office 365

Microsoft 70-345 – O quê estudar para aprova de Exchange Server 2016

10 Políticas de grupo (voltadas a segurança) que todo analista de TI deve conhecer

Perguntas frequentes sobre Office 365

Curso de Exchange Server

Sobre o Blog

Veja também

Falha no Copilot expôs e-mails confidenciais

Hackers estão explorando falha no Windows Remote Desktop

Mais acessados