Novo implante SnappyClient combina acesso remoto, roubo de dados e evasão avançada
Um novo implante de malware perigoso chamado SnappyClient emergiu silenciosamente como uma séria ameaça para usuários do Windows, combinando acesso remoto, roubo de dados e técnicas sofisticadas de evasão em um único pacote compacto em C++. Primeiro avistado em dezembro de 2025, este framework de comando e controle (C2) pode registrar teclas, tirar capturas de tela, iniciar um terminal remoto e extrair dados sensíveis de navegadores e aplicativos — tudo enquanto evita a detecção por ferramentas de segurança.
Descoberta e escopo da ameaça
A cadeia de ataque começa com um site falsamente convincente que se faz passar pela Telefónica, a bem conhecida empresa de telecomunicações. Usuários de língua alemã que visitam a página são automaticamente servidos com um download do HijackLoader. Uma vez que a vítima executa o arquivo, o HijackLoader descriptografa e carrega o SnappyClient diretamente na memória. Um segundo método de entrega também foi observado no início de fevereiro de 2026, onde os atacantes usaram um truque ClickFix compartilhado via X (antigo Twitter), novamente derrubando o SnappyClient através do GhostPulse e HijackLoader.
Pesquisadores do Zscaler ThreatLabz identificaram o SnappyClient em dezembro de 2025 enquanto rastreavam a atividade do HijackLoader em sua telemetria. Sua análise revelou que o SnappyClient se comunica com seu servidor C2 sobre TCP usando um protocolo totalmente personalizado. Cada mensagem é compactada com o algoritmo Snappy e criptografada usando ChaCha20-Poly1305, tornando o tráfego de rede significativamente mais difícil para os defensores inspecionarem.
Análise técnica detalhada
O SnappyClient visa uma ampla gama de aplicativos para roubo de dados. Ele ataca dez navegadores, incluindo Chrome, Firefox, Edge, Opera e Brave, colhendo senhas salvas, cookies de sessão e perfis completos de navegador. O malware também caça extensões relacionadas a criptomoedas como MetaMask, Phantom, TronLink, Coinbase Wallet e TrustWallet. Aplicações de criptomoeda independentes como Exodus, Atomic, Electrum e Ledger Live também são visadas. A análise de rede confirmou que o roubo de criptomoedas é o objetivo financeiro primário que impulsiona essas campanhas.
Além de roubar dados, o SnappyClient suporta proxies reversos para FTP, VNC, SOCKS5 e RLOGIN, dando aos atacantes múltiplos caminhos dentro da rede de uma vítima. Ele monitora o conteúdo da área de transferência em tempo real, trocando silenciosamente endereços de carteira Ethereum para redirecionar transações de criptomoedas. Dois arquivos de configuração dinâmica — EventsDB e SoftwareDB — são enviados pelo servidor C2 para direcionar o implante sobre quais aplicativos atingir e quais ações tomar, tornando-o flexível sem exigir redeploy.
Evasão e persistência
O que torna o SnappyClient difícil de parar é como ele desmantela eficientemente os controles de segurança destinados a capturá-lo. Desde o momento em que começa, o implante hooka a função LoadLibraryExW do Windows e monitora qualquer tentativa de carregar amsi.dll. Quando detectado, ele patcha AmsiScanBuffer e AmsiScanString para sempre retornar um resultado limpo, desabilitando silenciosamente a Interface de Varredura Antimalware do Windows sem levantar nenhum alerta.
Para contornar hooks de API de modo de usuário colocados por produtos de segurança de endpoint, o SnappyClient usa o Heaven's Gate, alternando a execução entre modos de 32 bits e 64 bits para emitir chamadas de sistema diretas que pulam as camadas de API monitoradas. Ele também mapeia uma cópia limpa de ntdll.dll na memória, acessando funções centrais do Windows sem interferência. Esses padrões espelham de perto o design do HijackLoader, apontando para uma provável conexão entre os desenvolvedores de ambas as ferramentas.
Medidas de mitigação recomendadas
Usuários e organizações devem evitar baixar arquivos executáveis de sites não verificados, mesmo aqueles que parecem representar marcas conhecidas. Equipes de segurança devem monitorar a criação incomum de tarefas agendadas e alterações suspeitas na chave de registro run, como sinais de alerta precoce da rotina de persistência do SnappyClient. Regras de detecção de endpoint devem cobrir padrões de execução do Heaven's Gate e comportamento de hollowing transacionado.
Manter navegadores atualizados reduz o risco de bypass de criptografia vinculada ao aplicativo. Auditar regularmente extensões de navegador instaladas, especialmente aquelas vinculadas a carteiras de criptomoeda, é fortemente recomendado. A criptografia ChaCha20 usada para arquivos sensíveis no disco torna a recuperação forense consideravelmente mais difícil, exigindo ferramentas especializadas para análise.
Implicações para o Brasil
No Brasil, onde o uso de criptomoedas e serviços financeiros digitais é crescente, o SnappyClient representa uma ameaça direta ao patrimônio financeiro dos usuários. A capacidade de roubar credenciais de navegador e redirecionar transações de criptomoedas pode resultar em perdas financeiras significativas. A evasão avançada do malware torna a detecção por soluções de segurança padrão mais difícil, exigindo monitoramento comportamental mais profundo.
O que os CISOs devem fazer imediatamente
As equipes de segurança devem implementar regras de detecção específicas para o SnappyClient, focando em padrões de hook de AMSI e comportamento de Heaven's Gate. A revisão de extensões de navegador e a auditoria de tarefas agendadas devem ser parte da rotina de segurança. A conscientização dos usuários sobre sites falsos que se passam por empresas legítimas é crucial para prevenir a infecção inicial.