Descoberta e escopo
ANY.RUN analisou submissões suspeitas e descreveu uma campanha modular onde o loader embute código .NET dentro de imagens hospedadas em serviços legítimos. A investigação constatou amostras com strings em português e o namespace distintivo "HackForums.gigajew", o que reforça a ligação com atores ou infraestrutura associados ao Brasil.
Como a cadeia de infecção opera
O vetor inicial reportado envolve e‑mails de phishing com anexos RAR/ZIP que contêm scripts JavaScript ou VBScript ofuscados. Ao executar o script, a cadeia de ataque consulta serviços do tipo Pastebin (por exemplo, paste.ee ou pastefy.app) para baixar um estágio PowerShell fortemente ofuscado.
Esse PowerShell então recupera imagens de plataformas de alta reputação (por exemplo, archive.org). Dentro dessas imagens, o loader usa esteganografia por Least Significant Bit (LSB) para esconder dados Base64 que correspondem a assemblies .NET.
O estágio em PowerShell extrai os dados ocultos, reconstrói a montagem .NET diretamente em memória e a invoca com argumentos que incluem a URL final do payload. Como o componente carregado nunca é escrito em disco, ferramentas antivírus baseadas em arquivos podem não detectar o código malicioso.
Cargas e capacidades observadas
O serviço é oferecido como infraestrutura para criminosos: clientes escolhem a carga final, que já incluiu trojans de acesso remoto e infostealers como REMCOS, XWorm, Katz Stealer e AsyncRAT. Em pelo menos um caso analisado, o loader injetou AsyncRAT no processo AddInProcess32, misturando‑se à atividade legítima do sistema.
Alvo e impacto geográfico
A operação foca organizações na América do Sul, África e Europa Oriental. ANY.RUN relata vítimas confirmadas no Brasil, África do Sul, Ucrânia e Polônia. A modularidade do serviço permite que campanhas diferentes compartilhem as mesmas imagens esteganográficas enquanto entregam payloads distintos, ampliando o alcance e a variabilidade do risco.
Evidências e limites
As conclusões baseiam‑se nas submissões analisadas na sandbox e nas características técnicas observadas (strings em português, namespace HackForums.gigajew, cadeias de download via paste.ee/pastefy e archive.org, uso de LSB). Não há, no relatório consultado, um detalhamento de indicadores de comprometimento (IoCs) exaustivo para blocagem automática.
Implicações para defesa
Os autores do relatório destacam que a dependência de serviços legítimos e a execução em memória complicam a detecção sem impactar tráfego legítimo. Para equipes de defesa, o ataque representa um desafio de correlação entre estágios ofuscados e artefatos dispersos em serviços externos. ANY.RUN fornece visibilidade das etapas, mas a mitigação operativa exige adaptações locais na detecção e na triagem de tráfego e artefatos ofuscados.
Observação
O texto acima resume os achados publicados pela ANY.RUN e relatados pelo veículo; qualquer ação de bloqueio ou remediação deve considerar o contexto operacional e os riscos de interromper serviços legítimos.