Pesquisadores de segurança da empresa Varonis revelaram uma técnica engenhosa, batizada de GhostTree, capaz de esconder arquivos maliciosos das varreduras de antivírus usando um recurso legítimo do próprio Windows. Em vez de explorar uma falha de software tradicional, o método abusa da forma como o sistema de arquivos NTFS lida com junctions, os atalhos internos que conectam pastas.
O truque está em criar loops. Um junction normalmente aponta de uma pasta para outra, mas, quando ele é configurado para apontar para a própria pasta que o contém, o sistema passa a enxergar caminhos que se repetem infinitamente para o mesmo arquivo. Há duas variantes: a GhostBranch, mais simples, gera cerca de 126 caminhos distintos; já a GhostTree, que usa dois junctions encadeados, chega à marca astronômica de 2^126 combinações possíveis — um número com 38 dígitos.
Na prática, ao tentar percorrer recursivamente todas essas pastas durante uma varredura, ferramentas de segurança como o Windows Defender ficam presas no loop e nunca conseguem chegar até o arquivo malicioso escondido lá dentro. É uma maneira elegante e perigosa de tornar uma ameaça praticamente invisível para as defesas automáticas do computador.
A boa notícia é que a Varonis notificou a Microsoft, que já corrigiu o comportamento — ainda que, em um primeiro momento, a empresa tenha tratado o caso como fora do escopo de correções de segurança. Para o usuário comum, a lição reforça um conselho básico: manter o Windows e o antivírus sempre atualizados é a forma mais eficaz de fechar esse tipo de brecha antes que ela seja explorada em ataques reais.
A descoberta chega em um momento de atenção redobrada com segurança em desktops, à medida que cresce o número de técnicas que abusam de recursos nativos do sistema operacional — os chamados ataques “living off the land”, em que o invasor usa as próprias ferramentas do Windows para passar despercebido.
