Pesquisadores em cibersegurança revelaram detalhes de uma campanha de malware em múltiplas etapas que utiliza scripts batch para entregar diferentes payloads criptografados de trojans de acesso remoto (RATs), incluindo variantes como XWorm, AsyncRAT e Xeno RAT.
A cadeia de ataque, batizada de VOID#GEIST pela equipe de Threat Research da Securonix, começa com um script batch ofuscado que executa um segundo script batch, prepara um ambiente legítimo com runtime Python embutido e descriptografa blobs de shellcode, que são executados diretamente na memória.
Essa execução ocorre por meio da injeção do código em múltiplas instâncias do processo “explorer.exe”, utilizando uma técnica conhecida como Early Bird Asynchronous Procedure Call (APC) injection.
Segundo os pesquisadores Akshay Gaikwad, Shikha Sangwan e Aaron Beardslee, “campanhas modernas de malware estão migrando de executáveis independentes para frameworks complexos baseados em scripts que simulam atividades usuais de usuários legítimos”.
Eles explicam que, em vez de usar arquivos PE tradicionais, os atacantes combinam scripts batch para orquestração, PowerShell para operações furtivas, runtimes legítimos embutidos para garantir portabilidade e shellcodes executados em memória para manter persistência e controle.
Essa abordagem “fileless” reduz as chances de detecção baseada em disco, permitindo que os invasores atuem no sistema comprometido sem gerar alertas de segurança.
Além disso, cada etapa parece inofensiva isoladamente, imitando atividades administrativas comuns.
O ataque começa com o download de um script batch hospedado em um domínio TryCloudflare, distribuído por meio de campanhas de phishing.
Esse script não busca elevar privilégios, operando com os direitos do usuário atualmente logado, o que facilita sua ação inicial e disfarça a infecção dentro de atividades administrativas aparentemente legítimas.
Na primeira etapa, o script exibe um documento PDF falso em tela cheia usando o Google Chrome, funcionando como distração visual para ocultar as ações em segundo plano, como o relançamento oculto do script batch via PowerShell, com parâmetros que escondem a janela do console.
Para garantir persistência após reinicializações, um script batch auxiliar é colocado na pasta de Inicialização do Windows no perfil do usuário, assegurando sua execução automática a cada login.
Essa escolha pelo método mais discreto evita alterar o registro do sistema, criar tarefas agendadas ou instalar serviços, minimizando o impacto forense e reduzindo alertas de segurança relacionados à elevação de privilégios.
Na fase seguinte, o malware consulta o mesmo domínio TryCloudflare para baixar pacotes ZIP contendo diversos arquivos: o loader em Python “runn.py”, scripts de shellcode criptografados (new.bin, xn.bin e pul.bin) referentes aos RATs XWorm, Xeno RAT e AsyncRAT, e arquivos JSON com chaves para descriptografia dinâmica do conteúdo.
Em seguida, o ataque utiliza um runtime Python legítimo, baixado diretamente do site python.org, eliminando dependências do sistema operacional e assegurando que o malware funcione mesmo em máquinas sem Python instalado.
Essa estratégia confere portabilidade, confiabilidade e furtividade ao transformar o ambiente de execução em algo autocontido, capaz de descriptografar e injetar os payloads na memória sem depender de componentes externos.
O principal objetivo é usar o runtime Python para rodar o “runn.py”, que decifra e executa o payload do XWorm via Early Bird APC injection.
O malware também utiliza o binário legítimo da Microsoft “AppInstallerPythonRedirector.exe” para ativar o Python e iniciar o Xeno RAT.
Na etapa final, o mesmo loader Python executa o AsyncRAT com o mesmo método de injeção.
A cadeia de infecção termina com o malware enviando um sinal mínimo via HTTP para um servidor de comando e controle (C2) controlado pelos atacantes, hospedado no domínio TryCloudflare, confirmando o sucesso da invasão.
Até o momento, não se sabe quem foram as vítimas nem se houve comprometimento real.
A modularidade do sistema reforça a flexibilidade do ataque, permitindo que os componentes sejam entregues incrementalmente, aumentando a resistência contra tentativas de bloqueio ou detecção.
Do ponto de vista da defesa, o padrão de repetidas injeções no processo explorer.exe em curtos intervalos é um forte indicador comportamental que pode ser usado para identificar a atividade maliciosa.
Publicidade
Nossa audiência é formada por analistas, pentesters, decisores e entusiastas que consomem nossas notícias todo dia pelo Site, Newsletter e Instagram. Fale com quem realmente importa para o seu negócio. Anuncie aqui. Saiba mais...