A técnica de evasão baseada em máquinas virtuais está a tornar-se um dos métodos mais eficazes para contornar soluções XDR. A análise que se segue baseia-se na reportagem de Stefan Rothenbühler para a InfoGuard, empresa suíça especializada em cibersegurança avançada.

A adoção massiva de soluções XDR levou muitas organizações a acreditar que tinham visibilidade total sobre a atividade dos endpoints. No entanto, como descreve a reportagem da InfoGuard, está a emergir um vetor de ataque que escapa a essa vigilância: a execução de malware dentro de máquinas virtuais invisíveis para o sistema operativo anfitrião.

A InfoGuard AG, reconhecida pelo trabalho em Cyber Defence, SOC Services, Incident Response e Managed Security, tem identificado este padrão em múltiplas investigações. Segundo a empresa, trata-se de uma mudança relevante na operação dos atacantes, que passam a criar “uma TI paralela” dentro do ambiente comprometido.

Quando a máquina virtual se torna uma capa de invisibilidade

O XDR observa apenas aquilo que o sistema operativo do host consegue ver. Ao introduzir uma máquina virtual, essa visibilidade reduz-se ao processo do hipervisor, enquanto toda a atividade maliciosa decorre num espaço não monitorizado. Comunicações, scripts ou movimentos laterais acontecem dentro da VM, sem gerar sinais claros no host.

O caso do grupo Ragnar Locker é um exemplo citado na reportagem: o ransomware era executado dentro de uma VM Windows XP que montava o disco do host como pasta partilhada. Para as ferramentas de deteção, a operação parecia apenas utilização normal do VirtualBox. Situações semelhantes ocorrem com atacantes que recorrem a QEMU ou exploram o WSL2, que permite executar binários Linux ignorados por muitas soluções de antivírus.

Segundo a InfoGuard, esta abordagem consolidou-se ao ponto de ser hoje um dos principais pontos cegos das arquiteturas de segurança.

A importância de observar comportamentos, não ficheiros

A popularização de ambientes híbridos e a facilidade de transportar hipervisores criaram condições favoráveis para este tipo de evasão. Para o atacante, a VM oferece isolamento, persistência e uma forma eficaz de disfarce.

A InfoGuard assinala que estas técnicas já não se limitam a grupos avançados (APT), estando a ser adotadas por operações de crime organizado, sobretudo em campanhas de ransomware que procuram maximizar impacto com menor risco de deteção.

Embora a VM esconda o que acontece no seu interior, deixa sinais no exterior. A reportagem da InfoGuard menciona indicadores como consumo invulgar de CPU, criação de ficheiros de grande dimensão, tráfego anómalo associado ao hipervisor ou ativação inesperada de subsistemas.

O ponto central é que a deteção deve evoluir da procura de malware conhecido para a identificação de comportamentos que revelam a existência de estruturas artificiais controladas pelo atacante.

O que as organizações precisam de considerar em 2026

A análise de Stefan Rothenbühler conclui que a evasão baseada em máquinas virtuais não é uma ameaça ocasional, mas uma tendência em expansão. A proliferação de ambientes virtuais, a portabilidade de hipervisores e a crescente sofisticação dos atacantes exigem ajustes nas práticas de defesa.

Para muitas organizações, isto implica rever permissões de execução de hipervisores portáteis, ajustar políticas sobre WSL ou Hyper-V, reforçar a deteção comportamental e abandonar a ideia de que o XDR, isoladamente, garante visibilidade total do endpoint.

A InfoGuard, cuja atuação cobre todo o ciclo de defesa, resume a questão principal numa pergunta simples:

“Há sinais de uma máquina invisível na nossa rede?”