Um relatório da plataforma de análise ANY.RUN referente ao primeiro trimestre de 2026 revela que ataques baseados em ferramentas legítimas do Windows cresceram 58,4% em relação ao período anterior. Técnicas de “Living off the Land” permitem que invasores estabeleçam persistência em apenas 21 segundos e executem código em 16 segundos, dificultando a detecção por defesas tradicionais.
O levantamento analisou mais de 2,1 milhões de investigações de malware e phishing entre janeiro e março de 2026. Além do salto nas técnicas LOLBAS, ataques baseados em loaders quase dobraram e o roubo de credenciais cresceu 14,7%, sinalizando mudança na forma como atacantes operam.
Como o ataque funciona
A lógica operacional é simples: utilitários nativos como PowerShell, Windows Management Instrumentation (WMI), certutil, mshta e interpretadores JavaScript já possuem privilégios elevados e acesso irrestrito aos recursos do sistema. Quando abusados, permitem que invasores depositem loaders que buscam cargas secundárias, executem código na memória sem tocar no disco e se misturem com a atividade administrativa legítima.
Os loaders — programas leves de primeiro estágio — realizam o comprometimento inicial e depois direcionam para payloads como ransomware, RATs ou infostealers. A combinação de credenciais roubadas com abuso de ferramentas confiáveis cria cenários em que o monitoramento comportamental se torna indispensável, já que controles baseados em assinaturas falham sistematicamente. O ransomware Payouts King, que burla EDR com syscalls diretas, é um exemplo de como o ransomware evolui para contornar defesas tradicionais.
Velocidade e volume dos ataques
Os números do relatório ANY.RUN ilustram a dimensão do problema no primeiro trimestre de 2026:
| Métrica | Variação (Q1 2026) |
|---|---|
| Ataques com LOLBAS/LOTL | +58,4% |
| Ataques com loaders | Quase dobrou |
| Roubo de credenciais | +14,7% |
| Tempo médio de persistência | 21 segundos |
| Tempo até execução LOTL | 16 segundos |
Por que defensores falham
Ferramentas confiáveis geram telemetria que parece normal. A detecção precisa identificar desvios sutis: argumentos de linha de comando atípicos, relações incomuns entre processos pai e filho, destinos de rede suspeitos conectados a infraestrutura temporária de loaders ou uso repentina de interpretadores de script por usuários sem perfil administrativo.
A ANY.RUN recomenda acoplar linhas de base comportamentais com análise rápida em sandbox e inteligência de ameaças para validar se a atividade observada indica comprometimento real. A combinação de análise automatizada com TI encurta o tempo de investigação e reduz o impacto sobre o negócio.
Recomendações práticas
Implemente controle de aplicativos para restringir a invocação de ferramentas de risco como PowerShell em modo irrestrito e certutil com parâmetros de download. Aplique o princípio do menor privilégio em todas as estações e servidores. Reforce os endpoints contra execução arbitrária de scripts com políticas como AMSI e bloqueio de macros. Considere o uso de credenciais isca (canary credentials) para detectar autenticação ilícita e canalizar atividades suspeitas para análise automatizada em sandbox. Comprender os tipos de malware e seus comportamentos é fundamental para calibrar alertas e priorizar respostas.
Organizações que combinam sandbox com inteligência de ameaças confirmam exposição a roubo de credenciais, tráfego C2 e execução fileless com mais rapidez, reduzindo significativamente a janela de resposta ao incidente.