Pesquisadores de cibersegurança descobriram o trojan de acesso remoto NonEuclid, uma ameaça sofisticada que compromete sistemas Windows. Desenvolvido em C#, o malware oferece acesso remoto não autorizado e utiliza técnicas avançadas de evasão, como bypass de antivírus, escalonamento de privilégios e criptografia de arquivos críticos, muitas vezes associados a ransomware.

O NonEuclid tem sido promovido em fóruns underground desde novembro de 2024, com discussões e tutoriais encontrados no Discord e YouTube. O malware começa com a inicialização de um aplicativo cliente, realizando verificações para evitar detecção antes de se conectar a um servidor remoto por meio de um socket TCP. Além disso, ele configura exclusões no Microsoft Defender Antivirus e monitora processos como “taskmgr.exe” e “procexp.exe”, usados para análise de segurança.

Entre as táticas de evasão do NonEuclid, está a verificação de ambientes virtuais ou sandboxes. Se detectado, o malware é encerrado. Outra característica notável é a capacidade de contornar a Interface de Análise Antimalware do Windows (AMSI). O malware também garante persistência por meio de tarefas agendadas e modificações no Registro do Windows, além de usar técnicas para elevar privilégios ao contornar o Controle de Conta de Usuário (UAC).

Uma característica rara desse trojan é a criptografia de arquivos com extensões específicas (como .CSV, .TXT e .PHP), renomeando-os para “.NonEuclid”. Com isso, o malware se torna um tipo de ransomware, além de oferecer funções de espionagem. A descoberta do NonEuclid evidencia a evolução das ameaças cibernéticas, que combinam furtividade, anti-deteção e capacidades de ransomware, representando um desafio crescente para especialistas em segurança.