O número de detecções de ataques de sequestro de DLL (também chamado de DLL hijacking) dobraram entre 2023 e 2025, crescendo 107% no período de acordo com dados da Kaspersky Security Network. Este é o resultado direto da evolução das capacidades de detecção do Kaspersky SIEM, que agora conta com inteligência artificial para identificar sinais sutis desse tipo de manipulação.
A pesquisa mostrou que nesse tipo de ataque os cibercriminosos trocam um arquivo legítimo do sistema por uma versão falsa, que faz com que o próprio programa confiável execute um código malicioso sem perceber, o que torna a invasão difícil de detectar. O sequestro de DLLs (Dynamic Link Libraries) são usados tanto por criminosos comuns quanto por grupos avançados de espionagem digital (APT). As bibliotecas (DLLs) são arquivos de apoio que funcionam como pequenas caixas de ferramentas usadas por programas, nelas estão funções prontas para tarefas como mostrar imagens, imprimir ou conectar à internet.
No ataque de DLL hijacking, criminosos colocam uma versão falsa de arquivos no lugar da original. Dessa forma, o programa, ao “pegar emprestado” a ferramenta, acaba executando sem saber que há um código malicioso escondido na biblioteca falsa. Como a função parece legítima e roda dentro de um processo confiável, é difícil para sistemas de segurança perceberem que trata-se de um ataque.
“Nós treinamos o sistema com milhões de exemplos reais de programas e bibliotecas, para que a IA aprendesse a distinguir padrões legítimos de tentativas de manipulação. Ela avalia fatores como localização incomum de arquivos, ausência de assinatura digital, nomes alterados e anomalias na estrutura da DLL. Com cada nova análise, o modelo se torna mais preciso, reduzindo falsos alertas e melhorando a eficiência da detecção” explica Fabio Assolini, diretor da Equipe Global de Pesquisa e Análise da Kaspersky para a América Latina.
A Kaspersky observou variações dessa técnica em ataques direcionados a empresas da Rússia, África e Coreia do Sul, entre outras regiões. Para enfrentar o problema, a companhia aprimorou seu SIEM (Security Information and Event Management), plataforma usada por empresas para monitorar a segurança dos sistemas, com um subsistema de IA especializado em analisar continuamente todas as bibliotecas carregadas em um ambiente corporativo.
A tecnologia já mostrou resultados concretos: ajudou a detectar precocemente uma tentativa de ataque do grupo avançado ToddyCat, impedindo que causasse danos às organizações visadas. O mesmo modelo também identificou tentativas de infecção com um infostealer, um tipo de malware que rouba informações, e um loader malicioso, programa que instala outro malware no computador ou dispositivo.
“Estamos vendo crescer o número de ataques em que criminosos exploram a confiança em programas legítimos. A IA consegue reconhecer sinais muito sutis de invasão, que antes passavam despercebidos até pelos antivírus. É um avanço essencial para manter sistemas críticos protegidos”, explica Assolini.
