Seu antivírus diz que está tudo limpo, o Windows parece normal, mas um ataque está rodando dentro do próprio Word ou de um driver de sistema. É exatamente esse tipo de cenário que preocupa os pesquisadores da Kaspersky. Segundo dados da Kaspersky Security Network, os ataques de sequestro de DLL (DLL hijacking ataque) cresceram 107% entre 2023 e 2025, ou seja, mais que dobraram em dois anos.
O detalhe mais inquietante é que esse crescimento não é só em números brutos. É um sinal de que criminosos comuns e grupos de espionagem avançada (APT) descobriram um jeito eficiente de se esconder atrás de programas legítimos, o que torna esse tipo de ataque especialmente traiçoeiro.
Como funciona o ataque “cavalo de Tróia” de DLL
Para entender o DLL hijacking ataque, vale uma analogia simples. Imagine que o seu programa de texto precisa “pegar emprestada” uma ferramenta de sua caixa de ferramentas para imprimir um documento. No Windows, essa ferramenta é uma DLL (Dynamic Link Library), um arquivo de apoio com funções prontas para tarefas como imprimir, mostrar imagens ou acessar a internet.
No sequestro de DLL, o atacante não tenta derrubar o Word diretamente. Em vez disso, ele invade o “armário de ferramentas” e troca aquela DLL legítima por uma versão falsa, visualmente idêntica, mas envenenada. Quando o programa confia na rotina de sempre e carrega a DLL, quem entra em cena é o código malicioso, rodando confortavelmente dentro de um processo totalmente confiável aos olhos do sistema.
Na prática, isso pode acontecer de várias formas. O invasor pode colocar uma DLL falsa em uma pasta que o aplicativo verifica antes do diretório do sistema, pode substituir uma DLL já instalada ou explorar falhas na forma como o Windows decide de onde carregar essas bibliotecas.
O resultado é o mesmo: o programa legítimo vira cavalo de Tróia sem saber. Para as ferramentas tradicionais de segurança, que olham “quem está rodando”, tudo parece normal, porque o processo visível continua sendo um executável legítimo.
Por que o DLL hijacking ataque é tão perigoso
O grande problema é justamente essa camuflagem. O malware não aparece como um arquivo estranho abrindo uma conexão suspeita, e sim como parte do fluxo normal de um software confiável. Em outras palavras, o código malicioso entra pela porta da frente, usando crachá verdadeiro.
Como as soluções clássicas de antivírus se baseiam fortemente em assinaturas e regras estáticas, muitas acabam “cegas” para esse tipo de técnica. A DLL maliciosa se apresenta com o mesmo nome da original, é carregada pelo mesmo processo e, em muitos casos, tenta imitar o comportamento esperado para não levantar suspeitas.
A Kaspersky observa que o DLL hijacking ataque é usado tanto em campanhas de malware em massa, como stealers e trojans bancários, quanto em operações de APT altamente direcionadas. Grupos como o APT ToddyCat já exploraram variações dessa técnica para ganhar persistência em servidores corporativos, inclusive usando ferramentas de pós-exploração como Cobalt Strike em etapas posteriores da intrusão.
Isso significa que o impacto vai desde o roubo de senhas e dados financeiros até espionagem de longo prazo em redes de governo e grandes empresas.
Usando IA para ver o “invisível”
Como combater um ataque que se esconde atrás de processos legítimos? A resposta da Kaspersky foi colocar IA (Inteligência Artificial) dentro do seu SIEM (Security Information and Event Management), o Kaspersky Unified Monitoring and Analysis Platform.
Em vez de procurar apenas por “assinatura de malware conhecido”, o modelo de IA é treinado para reconhecer o comportamento estranho das bibliotecas. A equipe alimentou o sistema com milhões de exemplos reais de DLLs e processos, para que o modelo aprendesse a separar padrão legítimo de manipulação maliciosa.
Essa IA olha para sinais como:
- local de onde a DLL está sendo carregada (caminho padrão de sistema ou pasta esquisita dentro de ProgramData);
- presença ou ausência de assinatura digital confiável;
- mudanças suspeitas em tamanho e estrutura da biblioteca;
- renomeações estranhas que tentam imitar DLLs populares do Windows.
Como explicou Fabio Assolini, diretor da Equipe Global de Pesquisa e Análise da Kaspersky para a América Latina, o modelo é continuamente refinado para reduzir falsos positivos e aumentar a precisão, classificando as DLLs em níveis de confiança em vez de um simples “bom” ou “ruim”.
Integrado ao SIEM, esse motor de IA pode trabalhar em dois modos: checando eventos que já dispararam regras de correlação (o que acelera a investigação) ou analisando em massa todos os eventos de carregamento de DLL para caça retrospectiva de ameaças em grandes ambientes corporativos.
Casos reais: APT ToddyCat e infostealers na mira
Essa abordagem não ficou só no laboratório. No teste piloto no serviço de MDR da empresa, o modelo de IA detectou um incidente em que o grupo APT ToddyCat tentou usar um tipo de DLL sideloading para executar seu código em um servidor comprometido. Ao observar que um processo legítimo carregava uma DLL incomum, armazenada em um caminho atípico e com estrutura alterada, o SIEM marcou o evento como suspeito e permitiu a contenção precoce do ataque.
O mesmo modelo também identificou tentativas de infecção por um infostealer focado em roubo de credenciais e por um loader malicioso, responsável por trazer outros malwares para dentro da máquina vítima. Em cenários assim, o DLL hijacking ataque atua como uma espécie de “primeira peça de dominó”, preparando o terreno para que outras famílias de malware façam o estrago principal.
Na prática, isso mostra que IA dentro do SIEM não é apenas uma buzzword. Quando consegue enxergar além do nome do processo e se concentra em como as bibliotecas são carregadas, assinadas e armazenadas, a tecnologia passa a flagrar exatamente o tipo de ameaça que costumava escapar do radar dos antivírus tradicionais.
Para as empresas, a mensagem é direta: se a sua defesa ainda depende apenas de detecção por assinatura e listas estáticas, existe uma superfície enorme de ataque que continua desprotegida. Em um cenário em que o DLL hijacking ataque dobrou de volume em dois anos, trazer IA para o coração do monitoramento de segurança deixou de ser luxo e virou requisito básico de sobrevivência digital.
