Novo vetor de roubo de credenciais evade detecção tradicional
Uma campanha sofisticada de roubo de credenciais construída em torno de uma ferramenta chamada VIP Keylogger emergiu como uma séria ameaça a organizações e indivíduos. Diferente de malwares convencionais que deixam arquivos no disco, este keylogger roda inteiramente na memória, tornando-se muito mais difícil para ferramentas de segurança tradicionais detectarem sua presença.
A campanha foi identificada pela primeira vez através de atividade suspeita no VirusTotal, onde uma mensagem enganosa empurrava os destinatários a abrir o que parecia ser uma ordem de compra padrão. O anexo era na verdade um arquivo RAR contendo um executável malicioso que extraía e executava o VIP Keylogger diretamente na memória sem tocar no disco.
Técnicas de evasão avançadas
O que torna esta campanha mais alarmante é sua escala. Múltiplas instâncias foram encontradas visando vítimas em diferentes países, com os atacantes ajustando apenas o estilo de embalagem e fazendo alterações menores no fluxo de execução. O payload principal, no entanto, permaneceu consistente em toda a operação.
A infecção segue dois caminhos separados, ambos projetados para deslizar sem detecção pelas ferramentas de segurança. No primeiro método, o arquivo malicioso é um executável .NET PE que esconde dois DLLs dentro de sua seção de recursos usando esteganografia. O segundo método envolve um arquivo PE padrão que armazena bytes criptografados AES dentro de sua seção .data.
Capacidades e impacto operacional
Uma vez ativo, o VIP Keylogger colhe dados sensíveis de uma máquina infectada. Ele visa dezenas de navegadores baseados em Chromium, incluindo Chrome, Brave, Edge e Opera, bem como navegadores baseados em Firefox. O malware também compromete clientes de email como Outlook e Thunderbird, além de plataformas como Discord e FileZilla.
Todos os dados roubados saem através de um dos cinco canais — FTP, SMTP, Telegram, HTTP POST ou Discord. A análise sugere que o payload final é entregue como um produto Malware-as-a-Service configurável, com recursos como AntiVM e ProcessKiller que podem ser desabilitados ou configurados pelo cliente.
Recomendações para equipes de segurança
As organizações devem evitar abrir anexos de email de remetentes desconhecidos, especialmente arquivos compactados como RAR ou ZIP. As equipes de segurança devem implantar soluções de endpoint capazes de identificar ameaças na memória e comportamento de process hollowing. Manter navegadores e aplicativos atualizados é fortemente recomendado para reduzir a superfície de ataque que o VIP Keylogger explora ativamente.