Analistas da Swiss Post Cybersecurity identificaram uma campanha que usa PNGs "polyglot" hospedados em infraestrutura legítima para distribuir o infostealer PURELOGS. A técnica combina phishing, um dropper em JScript e execução totalmente em memória para contornar controles tradicionais.
Descoberta e escopo
Segundo a análise publicada e replicada por Cyber Security News, a operação começa com e-mails de phishing que simulam faturas farmacêuticas e contêm um ficheiro ZIP malicioso. O primeiro estágio é um dropper em JScript que, quando executado pelo destinatário, baixa de um domínio confiável — exemplificado pelo uso de archive.org nas amostras analisadas — um ficheiro que aparenta ser apenas uma imagem PNG.
Vetor técnico: PNG como contêiner
A inovação central observada pelos analistas é que o ficheiro PNG funciona como um arquivo polyglot: ele contém dados de imagem válidos até o chunk IEND, mas, após esse ponto, os atacantes embutiram um payload codificado em Base64 entre marcadores literais "BaseStart-" e "-BaseEnd". Essa estrutura permite que a imagem seja renderizada normalmente por visualizadores, enquanto transporta um payload oculto aproveitável por código malicioso.
Execução e evasão
O dropper inicial decodifica o conteúdo entre os marcadores, faz Base64-decoding e carrega a assembly diretamente em memória usando .NET Reflection. O payload final é executado por um processo PowerShell que nunca grava o binário no disco — a execução é inteiramente em memória. Conforme observado pelos pesquisadores, isso torna ineficazes mecanismos baseados em assinaturas de ficheiros e detecção por hash dependente de artefactos em disco.
Motivação e acessibilidade do malware
PURELOGS é oferecido como Malware‑as‑a‑Service (MaaS) em fóruns underground. A cobertura aponta que assinaturas começam em cerca de US$150 por mês, o que reduz a barreira de entrada para operadores com menor sofisticação técnica. Essa economia de escala significa que tanto grupos organizados quanto operadores menos experientes podem empregar a mesma infraestrutura de ataque.
Evidências, limites e o que falta
Os detalhes técnicos citados — uso de archive.org como repositório de imagens, marcadores "BaseStart-" / "-BaseEnd", carregamento em memória via .NET Reflection e execução por Invoke-Expression no PowerShell — foram documentados pela Swiss Post Cybersecurity. O relatório público analisado pela redação não quantifica o número de organizações afetadas nem identifica alvos específicos, e não há, até onde a análise publicada registra, indicadores de comprometimento (IoCs) amplamente verificados além das amostras citadas.
Implicações para defesa
- Monitoramento de rede: solicitações a repositórios públicos (ex.: archive.org) contendo downloads aparentemente benignos devem ser avaliadas quando originadas por processos não usuais ou por contas com permissões limitadas.
- Detecção em memória: ferramentas EDR com capacidade de análise de processos e deteção de comportamentos em memória aumentam a chance de identificação de payloads que nunca tocam o disco.
- Treinamento e políticas: simulações e bloqueios para anexos compactados e execução de JScript como primeira etapa continuam sendo controles relevantes.
Resumo técnico e recomendação
A campanha demonstra como atacantes combinam técnicas conhecidas (phishing, carregamento de componentes legítimos, uso de imagens) com variações de esteganografia e execução fileless para contornar controles tradicionais. As equipes de segurança devem priorizar análise de comportamento e telemetria de execução em memória, bem como revisar regras de filtragem de anexos e políticas que permitam execução inadvertida de scripts recebidos por e-mail.
Fonte: Swiss Post Cybersecurity — análise reproduzida por Cyber Security News.