Pesquisadores identificaram uma operação que dissemina ZIPs falsos com instaladores que se passam pelo Malwarebytes e usam DLL sideloading para instalar infostealers focados em credenciais e carteiras de cripto.
Resumo técnico e janela de atividade
Investigadores da VirusTotal documentaram uma campanha ativa entre 11 e 15 de janeiro de 2026 em que arquivos ZIP nomeados no padrão malwarebytes-windows-github-io-X.X.X.zip eram distribuídos como supostos instaladores do Malwarebytes. A análise técnica apontou um identificador behash consistente — 4acaac53c8340a8c236c91e68244e6cb — usado para rastrear variantes relacionadas.
Vetor e exploração
A técnica principal explorada é DLL sideloading em ambiente Windows: o pacote malicioso inclui tanto um executável legítimo quanto uma biblioteca maliciosa chamada CoreMessaging.dll. Quando o EXE legítimo é executado a partir da mesma pasta, o sistema carrega a DLL maliciosa em vez da versão legítima, permitindo execução do payload sem alertas imediatos de integridade do binário.
Características observáveis
Os arquivos DLL identificados exibem metadados e strings peculiares, incluindo a assinatura textual "© 2026 Eosinophil LLC" e nomes de funções exportadas com sequências alfanuméricas como "15Mmm95ml1RbfjH1VUyelYFCf" e "2dlSKEtPzvo1mHDN4FYgv". Esses artefatos foram destacados pelos analistas como indicadores úteis para detecção e busca por amostras relacionadas.
Objetivo do malware e impacto
Após o sideloading, as DLLs dropam um estágio secundário composto por infostealers voltados a coletar credenciais salvas em navegadores e informações de carteiras de criptomoedas. A campanha, portanto, representa um risco direto para usuários finais que armazenam credenciais localmente ou mantêm fundos em wallets acessíveis via navegador.
Indicadores e resposta
- Indicador de behash: 4acaac53c8340a8c236c91e68244e6cb — usado para identificar arquivos relacionados.
- Nome do arquivo malicioso dentro do ZIP: CoreMessaging.dll — ponto chave do sideloading.
- Strings notáveis: "© 2026 Eosinophil LLC" e os nomes de funções exportadas alfanuméricas — úteis para regras YARA e buscas em repositórios de amostras.
Mitigações práticas
Com base nas observações públicas, medidas recomendadas incluem:
- Bloquear ou inspectar downloads de ZIPs com padrões de nomenclatura suspeitos (especialmente contendo malwarebytes-windows-github-io).
- Harden de diretórios de execução e evitar execução de executáveis a partir de locais temporários não confiáveis; aplicar políticas de aplicação (AppLocker/WDAC) que restrinjam execução de binários não assinados ou fora de diretórios permitidos.
- Monitorar para as strings e metadados identificados em telemetria EDR e soluções AV; investigar processos que carreguem bibliotecas CoreMessaging.dll a partir de pastas de usuário.
- Recomendar aos usuários a revisão de carteiras e credenciais armazenadas em navegadores e a rotação de credenciais quando houver suspeita de comprometimento.
Limites da análise pública
A documentação disponível não quantifica o número de vítimas nem detalha vetores de distribuição primários (por exemplo, se via malvertising, e‑mail de phishing ou sites falsos). As conclusões são baseadas na análise de amostras coletadas e publicadas pela VirusTotal; equipes de resposta devem cruzar esses indicadores com telemetria interna para avaliar exposição real.
Fonte principal: análise e detecção reportadas por VirusTotal e compiladas pelo Cyber Security News; behash e strings são citados conforme os relatórios públicos.