Campanha de phishing e vetores de entrega
Hackers estão utilizando e-mails de phishing enganosos disfarçados de documentos comerciais rotineiros para espalhar uma cepa perigosa de malware conhecida como VIP Keylogger. A campanha está ativa há meses, com atacantes mostrando nenhum sinal de desaceleração. O VIP Keylogger faz parte de uma onda mais ampla de malware que rouba informações e tem dominado a paisagem de ameaças nos últimos anos. Essas ferramentas são construídas para coletar dados sensíveis rápida e silenciosamente, seja agindo sozinhas ou abrindo caminho para ataques de acompanhamento mais danosos.
O que diferencia o VIP Keylogger é sua resiliência e a abordagem em camadas que seus operadores usam para evitar a detecção em todas as etapas da infecção. Pesquisadores da Splunk Threat Research Team (STRT) publicaram uma análise detalhada do malware, notando que as campanhas do VIP Keylogger têm se apoiado fortemente em táticas de engenharia social nos últimos meses. Os atacantes disfarçam arquivos maliciosos como notificações de pagamento bancário, ordens de compra e atualizações de logística para enganar os alvos.
Técnicas de ofuscação e carregamento em camadas
A infecção inicial começa com um dos três tipos de arquivos de script: Visual Basic Script (.vbs), arquivo JavaScript (.js) ou script de lote (.bat). Cada um desses carregadores é fortemente ofuscado usando técnicas como preenchimento de código lixo, codificação hex e stagers de PowerShell criptografados com AES para contornar verificações de segurança. O carregador .vbs esconde seu payload malicioso no meio do arquivo, sandwichado entre grandes blocos de código sem sentido.
Uma vez decodificado, ele passa a execução para um stager de PowerShell que é escrito em uma variável de ambiente oculta chamada INTERNAL_DB_CACHE antes de ser executado. Embora sigiloso, essa técnica deixa uma pegada detectável no registro do Windows que as equipes de segurança podem monitorar. Uma das técnicas mais criativas no playbook do VIP Keylogger é a esteganografia, onde código malicioso é escondido dentro do que parecem ser arquivos de imagem comuns.
O stager de PowerShell baixa dois arquivos .png de um servidor remoto, cada um carregando secretamente componentes codificados do payload final. Apenas após a decodificação dessas imagens é que o keylogger real emerge e é injetado em um processo legítimo do Windows chamado aspnet_compiler.exe.
Capacidades do malware e exfiltração
Uma vez instalado, o VIP Keylogger é uma ameaça séria para qualquer pessoa na máquina infectada. Ele captura cada tecla digitada, tira capturas de tela periódicas da área de trabalho, rouba senhas salvas e cookies de dezenas de navegadores populares e varre o registro do Windows em busca de credenciais do Outlook. Ele também monitora o conteúdo da área de transferência em tempo real, substituindo silenciosamente qualquer endereço de carteira de criptomoedas copiado por um controlado pelo atacante.
O malware entra em contato com vários servidores de comando e controle para enviar dados roubados, incluindo através de um bot do Telegram. Ele também verifica o endereço IP da vítima contra ambientes de sandbox conhecidos para evitar análise e se apaga do disco após a execução para cobrir seus rastros. A equipe STRT recomenda monitorar alterações no registro vinculadas à chave UserInitMprLogonScript e flagar scripts de PowerShell que combinam variáveis de ambiente com comandos de execução dinâmica.
Indicadores de comprometimento (IoCs)
As equipes de segurança devem também observar consultas DNS direcionadas ao domínio da API do Telegram, o que pode indicar exfiltração de dados ativa impulsionada por malware. Manter os sistemas atualizados, treinar a equipe para reconhecer e-mails de phishing e habilitar o registro de blocos de script do PowerShell são primeiros passos práticos que qualquer organização pode tomar para limitar a exposição a essa ameaça ativa e em evolução. Indicadores específicos incluem hashes SHA256 de amostras do loader e componentes do malware, além de URLs de download de esteganografia e domínios de C2.