Malware escondido – Uma cadeia de ataque altamente sofisticada, iniciada com um simples comando de instalação, foi identificada por pesquisadores de segurança da VeraCode no NPM, o maior repositório de código aberto do mundo. O pacote malicioso, chamado buildrunner-dev, comprometia silenciosamente máquinas Windows no momento em que era instalado e culminava na instalação de um trojan de acesso remoto totalmente funcional.
O nome do pacote não foi escolhido ao acaso. Ele imitava os pacotes legítimos buildrunner e build-runner, ambos abandonados por seus criadores originais. Um desenvolvedor em busca de uma solução de automação de builds, o processo automatizado de compilar e testar código-fonte, poderia facilmente confundir o pacote malicioso com uma versão ativa e confiável da ferramenta original.
LEIA: WhatsApp prepara função de agendamento de mensagens diretamente pelo app
O ataque começava automaticamente durante o processo de instalação. Dentro do pacote havia um arquivo de configuração contendo um postinstall hook, comando executado assim que a instalação era concluída. Nenhuma ação adicional era necessária: bastava digitar npm install buildrunner-dev para que a cadeia maliciosa fosse iniciada.
Antes de agir, o script realizava verificações para identificar se estava sendo analisado. Ele checava o sistema operacional, a presença de ferramentas de análise e o ambiente de execução. Caso detectasse qualquer sinal de monitoramento, simplesmente permanecia inativo.
Confirmado um ambiente favorável, o malware baixava um arquivo de comandos do Windows e o gravava na pasta de inicialização do sistema da vítima, diretório cujo conteúdo é executado automaticamente a cada login, garantindo a permanência da ameaça.
Mais de mil linhas, apenas 21 perigosas
O arquivo baixado possuía 1.653 linhas, mas apenas 21 continham comandos realmente maliciosos. O restante era ruído proposital, estratégia conhecida como ofuscação, que oculta o código perigoso por meio de complexidade artificial.
O autor utilizou sete técnicas diferentes. Entre elas, explorou uma peculiaridade do Windows em que variáveis inexistentes desaparecem durante a execução, mascarando os comandos reais. Em outra etapa, fragmentou o comando malicioso em 909 pequenos trechos, a palavra “powershell” nunca aparecia completa no arquivo.
O código ainda incluía comentários aleatórios para inflar o tamanho do arquivo, listas codificadas de vocabulário, sequências extensas de caracteres inválidos e nomes de variáveis sem sentido. A camada mais elaborada envolvia 51 variáveis que, ao serem decodificadas, resultavam em comandos inofensivos e jamais executados. A intenção era provocar alertas falsos em ferramentas de segurança e desviar a atenção de analistas.
Escalada silenciosa de privilégios
Depois de remover a ofuscação, o script verificava se estava sendo executado com privilégios de administrador. Caso contrário, aplicava uma técnica de UAC bypass, explorando o mecanismo de Controle de Conta de Usuário (UAC) do Windows, responsável por exibir janelas de confirmação quando programas tentam alterar o sistema.
O malware sequestrava um programa legítimo com permissão para se elevar automaticamente, herdando esses privilégios sem que qualquer alerta fosse exibido. Em seguida, executava comandos do PowerShell de forma totalmente oculta.
Ataque personalizado contra antivírus
O primeiro passo do comando PowerShell era identificar qual antivírus estava instalado no sistema. A partir dessa informação, o malware adotava comportamentos distintos.
Se o antivírus fosse ESET, a execução era interrompida. Caso fossem detectados Malwarebytes ou F-Secure, o script baixava uma imagem contendo código destinado a desativar as defesas antes de continuar. Para qualquer outro antivírus, era baixada uma imagem maior com o carregador principal do malware.
Esse nível de personalização indica que o atacante testou o código contra produtos específicos para garantir sua eficácia.
Código oculto em pixels
As imagens eram hospedadas em um serviço gratuito e pareciam conter apenas ruído visual. No entanto, cada pixel armazenava dados maliciosos por meio de esteganografia, técnica que esconde informações dentro de conteúdos aparentemente inocentes.
Diferentemente da criptografia, que embaralha dados, a esteganografia os oculta à vista de todos. Em uma imagem PNG, cada pixel é definido por três valores de cor. No esquema utilizado, esses valores carregavam bytes do código malicioso, pixel por pixel, linha por linha.
Sem conhecer o algoritmo empregado, nada pareceria suspeito. Serviços de hospedagem não analisam pixels em busca de código, e firewalls registram apenas uma requisição comum a um site de imagens.
A imagem menor continha um script para desativar o AMSI, interface do Windows que permite que antivírus interceptem scripts executados em memória. O código sobrescrevia a função de escaneamento para que retornasse erro sem realizar verificação, como um detector de incêndio sem bateria.
Já a imagem maior escondia o carregador principal, responsável por injetar o payload final em um processo legítimo do Windows. Utilizando a técnica conhecida como esvaziamento de processo, o malware criava o conhost.exe em estado suspenso, removia seu código da memória e inseria o código malicioso no espaço vazio. Ao retomar o processo, o sistema enxergava apenas um programa legítimo em execução.
Para garantir que as defesas permanecessem inativas, o carregador aplicava três métodos distintos de neutralização do AMSI em sequência. Se um falhasse, outro assumia. Além disso, evitava chamar funções sensíveis do sistema de forma direta, reduzindo rastros que poderiam ser analisados posteriormente.
O controle total da máquina
No estágio final da cadeia, extraído de uma terceira imagem e descriptografado, estava o Pulsar, um Trojan de Acesso Remoto (RAT) que concede controle completo e silencioso sobre o computador infectado. Com ele, o atacante pode visualizar a tela em tempo real, registrar teclas digitadas, acessar arquivos e ativar câmera e microfone sem que a vítima perceba.
Os padrões identificados durante a investigação, incluindo o uso do mesmo serviço de hospedagem de imagens, da esteganografia e do mesmo RAT, levaram os pesquisadores da VeraCode a concluir que o grupo responsável já havia sido reportado meses antes em outra campanha.
A atribuição sugere uma operação continuada, com evolução constante das técnicas empregadas, mas mantendo a mesma infraestrutura preferida para disseminação do malware.
(Com informações de Tecmundo)
(Foto: Reprodução/Freepik/printartist24)
