Campanha de malware NWHStealer explora confiança em ferramentas legítimas
Uma nova campanha de malware identificada como NWHStealer está infiltrando-se silenciosamente em sistemas Windows através de uma estratégia sofisticada que utiliza sites falsos de VPN, mods de jogos e utilitários de hardware como isca. Diferente de campanhas tradicionais que dependem de e-mails de spam ou truques de phishing óbvios, os atacantes estão colocando o malware dentro de arquivos que as pessoas procuram ativamente e baixam por conta própria, tornando a detecção muito mais difícil do que na maioria das campanhas.
A campanha abrange uma ampla gama de métodos de distribuição. O NWHStealer se espalha através de sites falsos que se passam por serviços confiáveis, plataformas de hospedagem de código como GitHub e GitLab, sites de compartilhamento de arquivos como MediaFire e SourceForge, e até mesmo vídeos de jogos e segurança no YouTube que carregam links maliciosos. O malware disfarça-se como software que as pessoas realmente precisam, incluindo instaladores de VPN, ferramentas de diagnóstico de hardware como OhmGraphite, Pachtop e Sidebar Diagnostics, bem como cheats e mods de jogos populares como Xeno.
Essa ampla abrangência em plataformas confiáveis é o que torna esta campanha particularmente perigosa. Analistas da Malwarebytes identificaram e rastrearam múltiplas campanhas ativas distribuindo o NWHStealer, observando que o stealer pode ser carregado através de auto-injeção ou injetado em processos Windows legítimos como o RegAsm, que é a Ferramenta de Registro de Assembly da Microsoft.
Mecanismo de infecção e técnicas de evasão
A maneira como o NWHStealer atinge seu estágio final é tecnicamente em camadas e construída para evitar a detecção em cada etapa. No primeiro caso observado, o código malicioso é incorporado diretamente dentro de um executável que parece legítimo, como o HardwareVisualizer.exe. Quando lançado, este carregador realiza várias operações em sequência: verifica ferramentas de análise e desliga se alguma for encontrada, usa uma função de descriptografia personalizada para processar strings, resolve funções da API do Windows através de LoadLibraryA e GetProcAddress, e finalmente descriptografa e carrega o próximo estágio do payload usando AES-CBC via APIs BCrypt.
Código lixo é deliberadamente embalado no carregador para retardar a análise e confundir ferramentas automatizadas. No segundo caso observado, sites falsos do Proton VPN entregam um ZIP malicioso que usa DLL hijacking para executar o stealer. Aqui, um arquivo que parece ser um executável WinRAR carrega uma biblioteca maliciosa chamada WindowsCodecs.dll, que descriptografa dois recursos incorporados. Um desses recursos é uma segunda DLL chamada runpeNew.dll, que realiza process hollowing injetando o payload final em um processo Windows em execução como o RegAsm.exe usando APIs de baixo nível incluindo NtProtectVirtualMemory e NtAllocateVirtualMemory.
Uma vez dentro do sistema, a DLL injetada usa PowerShell para criar diretórios ocultos em LOCALAPPDATA, adiciona esses diretórios às exclusões do Windows Defender e força uma atualização de Política de Grupo para travar suas alterações. Tarefas agendadas também são criadas para executar o payload no logon do usuário com privilégios elevados, dando ao malware um ponto de apoio durável. Para contornar o Controle de Conta de Usuário, o stealer usa uma técnica conhecida de bypass de CMSTP, gerando um arquivo .inf aleatório na pasta temp e usando cmstp.exe para elevar privilégios sem disparar um prompt visível.
Coleta de dados e persistência
De acordo com o relatório elaborado pela Engenheira de Pesquisa de Malware Gabriele Orini, uma vez que o malware aterrissa com sucesso no sistema da vítima, ele pode coletar dados do navegador, senhas salvas e informações de carteiras de criptomoedas que os atacantes podem usar para assumir contas, drenar fundos ou realizar ataques adicionais. As consequências imediatas para as vítimas são graves. O NWHStealer enumera mais de 25 pastas e chaves de registro vinculadas a carteiras de criptomoedas e mira em navegadores incluindo Edge, Chrome, Opera, Brave, Chromium e Firefox para puxar credenciais salvas e dados de sessão.
As informações roubadas são criptografadas usando AES-CBC antes de serem enviadas para o servidor de comando e controle do atacante. Se o servidor primário sair do ar, o malware recupera um novo domínio C2 através de um dead drop baseado no Telegram, garantindo que a operação permaneça conectada mesmo se a infraestrutura mudar. Um método de distribuição incomum se destaca nesta campanha. Um provedor de hospedagem web gratuito em onworks[.]net, classificado entre os 100.000 melhores sites globalmente, foi encontrado hospedando arquivos ZIP maliciosos em sua seção de downloads.
Arquivos com nomes como HardwareVisualizer_1.3.1.zip e Sidebar Diagnostics-3.6.5.zip parecem completamente legítimos, mas carregam código malicioso embutido que inicia a cadeia de infecção no momento em que o usuário executa o executável dentro.
Recomendações de mitigação para CISOs
Os pesquisadores da Malwarebytes aconselham os usuários a aplicar as seguintes precauções para reduzir a exposição a esta campanha. Baixe software apenas de sites oficiais e verificados e evite espelhos de download de terceiros. Exercite cautela com qualquer arquivo originado do GitHub, SourceForge ou plataformas de compartilhamento de arquivos, a menos que o editor seja totalmente confiável e verificado. Sempre verifique as assinaturas de arquivo e detalhes do editor antes de executar qualquer executável baixado.
Não baixe ferramentas ou software através de links postados em descrições de vídeos do YouTube ou comentários. Verifique a integridade de arquivos compactados verificando a assinatura e as informações de versão de qualquer software que contenham antes da extração. A segurança da informação exige vigilância constante, especialmente quando a confiança é explorada como vetor de ataque.
Implicações para a segurança corporativa
Este tipo de campanha de supply chain e distribuição via plataformas legítimas representa um desafio significativo para as equipes de SOC e CISOs. A capacidade de se disfarçar como software legítimo e utilizar infraestrutura de terceiros confiáveis torna a detecção baseada em reputação de domínio ineficaz. A análise comportamental e a verificação de integridade de arquivos tornam-se essenciais. Além disso, a persistência via tarefas agendadas e exclusões do Windows Defender exige monitoramento contínuo de endpoints.
A recomendação é revisar as políticas de download de software, bloquear downloads de fontes não verificadas e implementar soluções EDR que possam detectar técnicas de process hollowing e injeção de DLL. A conscientização dos usuários sobre os riscos de baixar mods de jogos ou ferramentas de hardware de fontes não oficiais é crucial para mitigar o risco inicial.
Perguntas frequentes
O que é o NWHStealer? É um malware do tipo info-stealer que coleta credenciais e dados de carteiras de criptomoedas.
Como ele se espalha? Através de sites falsos, mods de jogos e utilitários de hardware em plataformas como GitHub e YouTube.
Qual a mitigação principal? Evitar downloads de fontes não oficiais e verificar assinaturas de arquivos.