SEJA BEM VINDO!

pt
pt

Técnicas de Ataque: Como Vulnerabilidades Pouco Conhecidas estão Sendo Exploradas por Cybercriminosos

BLOG-CIBERSEGURANÇA

Nos últimos anos, os cybercriminosos têm demonstrado não apenas agressividade, mas também criatividade e sofisticação crescentes em suas investidas. Em vez de depender apenas de phishing ou malware tradicional, eles estão alavancando vulnerabilidades menos óbvias em ferramentas de software especializadas — como o ThrottleStop — para escalar privilégios, desativar proteções e preparar ataques mais devastadores.

Neste artigo, vamos destrinchar:

  1. O que é o ThrottleStop e por que ele pode representar risco

  2. Como criminosos estão abusando dessa vulnerabilidade

  3. Outras vulnerabilidades “escondidas” que também são exploradas

  4. Estratégias de proteção para mitigar esses riscos

1. O que é o ThrottleStop?

O ThrottleStop é uma ferramenta de tuning de desempenho para CPUs — especialmente popular entre gamers, overclockers e entusiastas de desempenho. Com ele, é possível ajustar limites de voltagem, frequência e controle térmico. É um programa poderoso, mas, por sua natureza, exige permissões elevadas para funcionar corretamente (nível de sistema ou administrador).

Usuários instalam o ThrottleStop para extrair o máximo desempenho de seus processadores — seja para jogos, renderização ou outras tarefas pesadas. No entanto, o próprio poder deste tipo de ferramenta também pode ser aproveitado por atacantes quando mal utilizada ou deixada desprotegida.

2. Como criminosos estão explorando o ThrottleStop

a) Escalada de privilégios

Uma vulnerabilidade no ThrottleStop pode permitir que invasores obtenham acesso privilegiado no sistema. Se eles já tiverem algum nível de acesso (por exemplo via phishing ou malware), podem usar o ThrottleStop para escalar privilégios e executar código com permissões elevadas.

b) Desativação de EDR / AV

Uma técnica sofisticada identificada pela Kaspersky mostra que agentes maliciosos podem usar o ThrottleStop para desativar mecanismos de EDR (Endpoint Detection and Response) ou outras proteções de segurança, permitindo a execução de ransomware sem detecção prévia.

c) Persistência no sistema

Além disso, o software pode ser usado para criar mecanismos de persistência — ou seja, permitir que um malware permaneça ativo mesmo após reinicializações ou tentativas de remoção. Isso torna a recuperação mais difícil e aumenta a janela de tempo em que o invasor tem controle.

3. Outras vulnerabilidades pouco conhecidas sendo exploradas

O ThrottleStop não é o único “software legítimo” que pode se tornar uma arma nas mãos erradas. Aqui estão mais exemplos:

  • Ferramentas de overclocking e microajustes: programas similares ao ThrottleStop, usados para otimizar desempenho, também podem ser manipulados para fins maliciosos.

  • Ferramentas administrativas de sistema: scripts PowerShell, gerenciadores de inicialização, utilitários de diagnóstico muitas vezes são usados por invasores para se camuflar como “ferramentas legítimas do sistema”.

  • Softwares de GPU / CPU tuning: drivers de overclock ou software de controle de voltagem podem ser explorados para injetar código malicioso ou elevar privilégios.

  • Utilitários de monitoramento de hardware: muitos softwares usados para monitorar temperaturas, voltagens e uso de hardware têm permissões suficientes para serem usados lateralmente por invasores.

4. Estratégias para mitigar esses riscos

Como proteger a sua empresa ou infraestrutura dessas táticas de ataque avançadas?

a) Inventário rigoroso de software

  • Mantenha um controle completo de todos os softwares instalados nos dispositivos corporativos, incluindo ferramentas de tuning, overclock ou diagnóstico.

  • Bloqueie a instalação de ferramentas potencialmente perigosas em máquinas críticas, a menos que haja necessidade justificável.

b) Políticas de privilégio mínimo

  • Garanta que apenas usuários altamente confiáveis e treinados tenham permissões administrativas.

  • Use o princípio do menor privilégio: mesmo administradores devem executar processos não críticos como usuários limitados, quando possível.

c) Monitoramento ativo e EDR

  • Implemente soluções de EDR (Endpoint Detection and Response) que conseguem detectar comportamentos suspeitos, mesmo quando softwares legítimos são usados para fins maliciosos.

  • Configure alertas para quando ferramentas como ThrottleStop forem executadas ou modificadas nos endpoints.

d) Hardening e proteção de segurança

  • Use políticas de restrição de software (como AppLocker no Windows) para permitir apenas aplicativos confiáveis.

  • Configure assinaturas de código / whitelisting para prevenir a execução de versões não autorizadas de programas.

e) Treinamento e conscientização

  • Eduque sua equipe de TI e segurança sobre os riscos de ferramentas de tuning de desempenho.

  • Realize treinamentos regulares para usuários finais, explicando por que certos “softwares de performance” podem representar riscos.

5. Por que isso importa para as empresas brasileiras

Para empresas no Brasil, esse tipo de risco é ainda mais relevante — especialmente quando consideramos:

  • Crescimento de ataques de ransomware no país

  • Adoção de hardware potente (PCs de alto desempenho, servidores) para operações críticas

  • Falta de maturidade em políticas de segurança para softwares não convencionais

Sem uma estratégia de segurança que leve em conta software legítimo mas potencialmente perigoso, organizações podem se tornar vulneráveis a ataques sofisticados que não seriam detectados por estratégias tradicionais.

Conclusão

Os cybercriminosos evoluíram. Eles não dependem mais apenas de phishing ou trojans básicos: agora estão explorando ferramentas legítimas e pouco conhecidas, como o ThrottleStop, para contornar defesas e comprometer sistemas com mais furtividade e poder.

Para empresas que levam a segurança a sério — como as que você atende na Fenix Shield — é crucial adotar uma abordagem holística: mapear todo o software em uso, aplicar políticas de privilégio mínimo, usar EDR, restringir execuções não autorizadas e, acima de tudo, educar a equipe.

Se você ainda não incluiu essas camadas em seu programa de segurança, agora é a hora. Os atacantes já fizeram o dever de casa — cabe a nós nos anteciparmos.

Por Dário Brito

https://www.linkedin.com/in/dariobrito/

Contato

Entre em contato para dúvidas e sugestões.

Artigos

comercial01@fenixshield.com.br

© 2025. All rights reserved.

cyberblog@fenixshield.com.br

Visite Nosso Site