Resumo
Pesquisadores identificaram uma variante do malware PDFly que modifica o stub do PyInstaller — alterando a "cookie" mágica e criptografando bytecode Python — o que impede ferramentas automáticas de extração e força analistas a reverter o processo de decriptação.
Descoberta e análise técnica
A técnica foi documentada por analistas citados em reportagem do Cyber Security News, que atribuem a descoberta inicial à menção do pesquisador Luke Acha e posteriores análises da Samplepedia. Os autores modificaram o cabeçalho do PyInstaller e moveram a camada de criptografia para arquivos bootstrap que são processados em tempo de execução.
Como a defesa é contornada
Ferramentas convencionais como PyInstxtractor não reconhecem o binário por causa de um valor de "magic cookie" personalizado e strings corrompidas no stub. Mesmo após adaptar o extractor para localizar a estrutura personalizada, os arquivos extraídos continuam criptografados, exigindo engenharia reversa manual.
Esquema de criptografia
A investigação revelou um fluxo de decriptação em múltiplas etapas extraído do pyimod01_archive.pyc:
- XOR inicial com uma chave de 13 bytes (rotulada SCbZtkeMKAvyU);
- Descompressão zlib;
- Segundo XOR com chave de 7 bytes (KYFrLmy);
- Inversão dos bytes antes do unmarshalling para recuperar objetos de código Python.
Os analistas criaram uma ferramenta genérica que procura estruturas válidas de cookie no overlay PE, valida campos (tamanho, TOC offset, versão Python) e extrai chaves XOR de expressões geradoras no ZlibArchiveReader para automatizar o processo contra variantes futuras.
Relação com outras amostras
Uma amostra similar chamada PDFClick compartilha a mesma estratégia de modificação, indicando que atores estão desenvolvendo um conjunto de variantes que reutilizam o mesmo método para aumentar a resistência à análise.
Impacto para equipes de resposta
A técnica complica fluxos de trabalho de triagem: ferramentas automáticas falham em identificar e extrair o conteúdo, o que aumenta o tempo necessário para análise e inteligência de ameaças. A necessidade de reversão manual também eleva o custo operacional para analistas e labs de segurança.
O que a reportagem não cobre
As fontes não indicam métricas de disseminação, vetores de distribuição específicos em massa nem vítimas identificadas. Também não há menção a compromissos documentados no Brasil ou uso em campanhas que afetem setores críticos.
Recomendações
- Preparar pipelines de análise que incluam disassembly e extração manual quando PyInstaller apresentar estruturas não convencionais.
- Compartilhar hashes e TTPs entre equipes de resposta para detectar variantes relacionadas (PDFly/PDFClick).
- Priorizar detecção de comportamentos pós‑execução — decompressão dinâmica, chamadas a zlib e operações XOR em memória — em vez de confiar apenas em assinaturas estáticas.
Fonte: Samplepedia e investigação reportada pelo Cyber Security News.
Nota: o artigo resume apenas técnicas e observações publicadas; dados operacionais sobre alcance e vítimas não foram divulgados nas fontes.