Ator de ameaças estão distribuindo um Trojan disfarçado de software Proxifier; através de uma cadeia de infecção multiestágio, ele entrega o ClipBanker – malware que substitui endereços de carteira de criptomoedas na área de transferência. No início do ano, um certo Trojan chamou a atenção devido à sua cadeia de infecção incrivelmente longa. Na maioria dos casos, ela começa com uma pesquisa na web por "Proxifier". Proxifiers são softwares especializados projetados para tunelar tráfego para programas que não suportam nativamente servidores proxy.
Engenharia social e distribuição
Por coincidência, Proxifier também é o nome de um proxifier proprietário desenvolvido pela VentoByte, distribuído sob licença paga. Se você pesquisar por Proxifier, um dos primeiros resultados em motores de busca populares é um link para um repositório GitHub. É exatamente aí que vive a fonte da infecção primária. O projeto GitHub em si contém o código-fonte de um serviço proxy rudimentar. No entanto, se você for para a seção Releases, encontrará um arquivo contendo um arquivo executável e um documento de texto.
Esse executável é na verdade um wrapper malicioso embutido em torno do instalador legítimo do Proxifier, enquanto o arquivo de texto oferece chaves de ativação para o software. Uma vez iniciado, a primeira ordem de negócio do Trojan é adicionar uma exceção ao Microsoft Defender para todos os arquivos com extensão TMP, bem como para o diretório onde o executável está sentado.
Técnicas fileless e injeção de código
A maneira como o Trojan faz isso é realmente exótica. Primeiro, ele cria um arquivo stub minúsculo – apenas cerca de 1,5 KB de tamanho – no diretório temp com o nome "Proxifier.tmp" e o executa. Este stub não faz nada por si só; serve como um processo doador. Mais tarde, um aplicativo .NET chamado "api_updater.exe" é injetado nele para lidar com as exclusões do Microsoft Defender. Para fazer isso, o api_updater.exe decodifica e executa um script PowerShell usando a classe PSObject.
O script é ofuscado e partes dele são codificadas, mas ele realmente realiza apenas quatro ações específicas: adicionar os processos "powershell" e "conhost" às exclusões do Microsoft Defender, criar uma chave de registro em HKLM\SOFTWARE\System::Config e armazenar outro script PowerShell codificado em Base64 dentro dele, configurar uma tarefa agendada para lançar o PowerShell com outro script como argumento.
O script da tarefa é ler o conteúdo da chave de registro criada, decodificá-lo e transferir o controle para o script resultante. Pingar um serviço IP Logger em https[:]//maper[.]info/2X5tF5 para informar aos atacantes que a infecção foi bem-sucedida. Isso encerra a etapa primária da infecção. Como você pode ver, o Trojan tenta usar técnicas de malware fileless (ou sem corpo). Ao executar código malicioso diretamente na memória alocada, ele deixa quase nenhuma pegada no disco rígido.
Cadeia de infecção e payload final
A próxima etapa é lançada junto com a tarefa criada no agendador. A tarefa lança o interpretador PowerShell, passando o script dos argumentos como entrada. Ele lê o conteúdo da chave de registro Config anteriormente criada, então decodifica e executa. Este é outro script PowerShell cujo trabalho é baixar o próximo script de endereços codificados e executá-lo. Estes endereços pertencem a serviços do tipo Pastebin, e o conteúdo localizado lá é codificado de várias maneiras diferentes ao mesmo tempo.
O script do Pastebin continua a cadeia de download. Desta vez, o payload está localizado no GitHub. É um script massivo, com cerca de 500 KB. Interessantemente, a maior parte do arquivo é apenas uma longa string Base64. Após decodificá-lo e fazer alguma desofuscação, terminamos com um script cujo propósito é bastante claro. Ele extrai shellcode de uma string Base64, lança a utilidade fontdrvhost.exe, injeta o shellcode nele e entrega o controle.
O shellcode, por sua vez, descompacta e configura o código para o payload final. Este é o malware clássico ClipBanker, e não há nada particularmente sofisticado nele. Ele é escrito em C++, compilado com MinGW, não se preocupa com persistência do sistema e nem mesmo se conecta à rede. Seu trabalho inteiro é monitorar constantemente a área de transferência em busca de strings que pareçam endereços de carteira de criptomoedas pertencentes a várias redes baseadas em blockchain.
Impacto e vítimas
Desde o início de 2025, mais de 2000 usuários das soluções Kaspersky encontraram essa ameaça, a maioria deles localizada na Índia e no Vietnã. Interessantemente, 70% dessas detecções vieram da Kaspersky Virus Removal Tool, um utilitário gratuito usado para limpar dispositivos que já estão infectados. Isso destaca a importância da proteção preventiva: muitas vezes é mais barato e fácil prevenir a infecção do que enfrentar as consequências de um ataque bem-sucedido.
Esta campanha é mais um exemplo perfeito do velho ditado: "compre barato, pague duas vezes". Tentar economizar um dólar em software, combinado com falta de cautela ao procurar soluções gratuitas, pode levar a uma infecção e ao roubo subsequente de fundos – neste caso, criptomoedas. Os atacantes estão promovendo agressivamente seus sites nos resultados de pesquisa e usando técnicas fileless junto com uma cadeia de infecção maratona para permanecer sob o radar.
O que os CISOs devem fazer agora
1. Bloquear URLs de domínio maliciosas listadas nos indicadores de comprometimento. 2. Monitorar conexões de saída para serviços de armazenamento em nuvem não autorizados. 3. Implementar políticas de execução de script restritivas no nível do endpoint. 4. Educar usuários sobre riscos de baixar software de fontes não oficiais. 5. Atualizar soluções de segurança para detectar técnicas de injeção de shellcode.