Hack Alerta

XWorm em PNGs: nova onda de steganografia e loaders em memória

Por Redação Hack Alerta Publicado em 13/11/2025 16:02 Riscos e Ameaças Tempo de leitura: 3 min

Análise da ANY.RUN mostra uma campanha que esconde loaders AES/Base64 dentro de PNGs (Vile.png, Mands.png) e usa um PowerShell em duas etapas para carregar XWorm em memória. O dropper JavaScript (PurchaseOrder_25005092.JS) também cria persistência via tarefa agendada; a técnica dificulta detecção por assinaturas.

Pesquisadores da sandbox ANY.RUN documentaram uma campanha que utiliza esteganografia para esconder loaders criptografados dentro de arquivos .png, permitindo que XWorm seja carregado inteiramente em memória e evadindo scanners tradicionais.

Panorama e descoberta

O ataque começa com um instalador em JavaScript (PurchaseOrder_25005092.JS) distribuído por phishing (T1566.001). O script obfuscado escreve três arquivos em C:\Users\PUBLIC\: Kile.cmd, Vile.png e Mands.png. Apesar da extensão .png, Vile.png e Mands.png funcionam como contêineres para payloads Base64 codificados e cifrados com AES.

Corrente de execução / Vetor técnico

O fluxo observado pela ANY.RUN é composto em duas etapas principais de PowerShell:

  • Stage 1 — Command runner: o loader lê Mands.png, decodifica Base64, decifra AES e executa os comandos via Invoke-Expression (IEX).
  • Stage 2 — In-memory assembly loader: o processo lê Vile.png, decodifica e decifra para obter os bytes de uma montagem .NET que é carregada em memória e invocada (T1620). O resultado final é um carregador fileless que inicia XWorm sem gravar o binário final em disco.

Persistência e ofuscação

O JavaScript cria uma tarefa agendada (T1053.005) para persistência e reconstrói artefatos a partir de longos blocos Base64 e strings AES-encriptadas (T1027.013). Kile.cmd contém obfuscação intensa (variáveis ruidosas, substituições por percentagens e fragmentos Base64) que, em tempo de execução, reagrupa e chama o loader PowerShell (T1059).

Detecção e caça

AANY.RUN recomenda um conjunto de verificações práticas para analistas:

  • Inspecionar imagens (.png/.jpg) suspeitas para blocos longos de Base64, seções de texto ou dados não compatíveis com formatos de imagem.
  • Monitorar atividade PowerShell com comandos como FromBase64String, Invoke-Expression e rotinas AES; correlacionar origem com wscript.exe ou .cmd.
  • Correlacionar criação de tarefas agendadas por scripts em diretórios de usuário em vez de caminhos de sistema.
  • Usar análise dinâmica (sandbox) para observar decriptação, staging e execução em memória, extraindo IOCs em cada estágio.

Por que a sandbox é crítica

Cargas que executam exclusivamente em memória são difíceis para scanners estáticos. A ANY.RUN demonstra que, em muitos casos, a execução interativa revela de imediato arquivos escritos, rotinas de decriptação e chamadas de rede necessárias para reconstruir a cadeia de ataque. O relatório indica que quase 90% dos casos analisados pela plataforma exibem comportamento completo em menos de 60 segundos, acelerando extração de IOCs.

Impacto e implicações para defesa

Campanhas que misturam esteganografia com carregadores in-memory elevam a necessidade de monitoramento comportamental e análise dinâmica. Ferramentas EDR que dependem apenas de assinaturas poderão falhar. Detectores devem priorizar anomalias em PowerShell, tarefas agendadas criadas por scripts e padrões de leitura de arquivos que contenham grandes blocos Base64.

Limitações

O relatório técnico mostra um caso real analisado na sandbox e fornece IOCs e recomendações de caça, mas não fornece uma contagem global de vítimas ou atribuição de grupo além das TTPs observadas.

Fonte: ANY.RUN / Cyber Security News

Baseado em publicação original de ANY.RUN
Tags: #steganografia #xworm #png #any.run #powershell #in-memory #base64 #aes #threat-hunting
Publicado pela Redação Hack Alerta com base em fontes externas citadas e monitoramento editorial do Hack Alerta. Para decisões técnicas, operacionais ou jurídicas, confirme sempre os detalhes na fonte original.
← Voltar