Pesquisadores da K7 Labs descrevem um malware baseado em Python que esconde um fragmento marshalled .pyc dentro de um blob de 65 MB, reconstrói um runtime Python e injeta código em cvtres.exe para manter canais C2 criptografados.
Descoberta e cadeia de execução
A análise publicada por K7 Labs, replicada em report no Cybersecurity News, mostra um esquema multi‑estágio: um PE dropper recria um script batch via decriptação em runtime (SIMD), que baixa um arquivo mascarado como PNG — na verdade um RAR — e usa utilitários empacotados (WinRAR renomeado) para extrair componentes.
Engenharia de ofuscação e persistência
Componentes extraídos incluem um suposto AsusMouseDriver.sys (RAR protegido por senha), um ntoskrnl.exe falso que contém runtime Python e um blob de imagem com o fragmento marshalled. O payload realiza várias camadas de decodificação: Base64 → BZ2 → zlib → marshal.load, reconstruindo bytecode Python apenas em memória.
# fluxo simplificado de deobfuscação
import base64, bz2, zlib, marshal
def deobfuscate_payload(image_data):
stage1 = base64.b64decode(image_data)
stage2 = bz2.decompress(stage1)
stage3 = zlib.decompress(stage2)
final_payload = marshal.loads(stage3)
return final_payloadVetor de injeção e evasão
O código alvo do processo legítimo cvtres.exe para executar injeção de processo. Uma PDF isca é aberta para distrair o usuário enquanto o mecanismo de deobfuscação carrega o payload na memória e estabelece comunicações de comando e controle criptografadas. O uso de um binário assinado/legítimo como hospedeiro e a execução em memória dificultam a detecção por soluções baseadas em assinaturas.
Impacto operacional
A técnica expõe um risco para ambientes corporativos: arquivos aparentemente inócuos (imagem/PDF) e binários assinados podem ser vetor de cargas que instanciam runtimes completos e persistência. A presença de um runtime Python embutido e cadeia de decodificação múltipla indica investimento em evasão e persistência.
Mitigações e recomendações
As recomendações implícitas na análise incluem monitorar comportamentos anômalos de processos legítimos (cvtres.exe), inspecionar execuções em memória, controlar execução de scripts e utilitários não autorizados e restringir extração/execução automática de arquivos baixados de fontes externas.
Limitações
O relatório técnico foca na amostra analisada e no mecanismo de ofuscação; não há na matéria uma lista ampla de IOCs (hashes, domínios C2), nem indicação de vítimas específicas. As observações são baseadas na amostra e no comportamento dinâmico estudado pela K7 Labs.