Veil#Drop: nova campanha explora serviços do Google para espalhar malware furtivo
Uma investigação recente revelou uma operação de malware altamente sofisticada, batizada de Veil#Drop, que vem explorando recursos legítimos da Google para distribuir um ladrão de dados conhecido como PureLog Stealer. A campanha combina engenharia social, uso de sites do Blogspot, scripts em PowerShell e execução exclusivamente em memória para escapar de antivírus tradicionais e comprometer credenciais de usuários e empresas.
Como a infecção começa: o JavaScript disfarçado de documento
O ponto de partida do ataque é um arquivo JavaScript que se passa por um documento comum. Ele recebe nomes como `transcript.pdf.js`, em que a extensão `.js` é mascarada visualmente atrás de um “.pdf” para enganar o usuário no Windows Explorer. Muitos usuários, ao enxergar “.pdf” no nome, assumem que se trata de um arquivo inofensivo e acabam clicando.
Quando o arquivo é aberto, ele não é renderizado como documento, mas executado pelo Windows Script Host (`wscript.exe`). A partir daí, o script dispara o PowerShell com parâmetros que ignoram a política padrão de execução de scripts, o que permite que comandos potencialmente perigosos rodem sem bloqueios.
Abuso do Blogspot como infraestrutura de comando e controle
O primeiro comando em PowerShell, acionado pelo JavaScript, busca o próximo estágio diretamente em uma página do Blogspot sob controle dos invasores, como por exemplo `htlwub00klocate.blogspot.com/phud.dudus.docx.pdf.olp.sys`. Em vez de baixar um arquivo para o disco, o script usa `Invoke-RestMethod` para puxar o conteúdo diretamente para a memória e `Invoke-Expression` para executá-lo de imediato.
Esse uso de serviços da Google como repositório de código malicioso é estratégico: domínios amplamente confiáveis tendem a ser menos suspeitos para algumas soluções de segurança, o que aumenta a taxa de sucesso da campanha. Além disso, como não há arquivo salvo em disco nesse ponto, muitos antivírus baseados em análise de arquivos não conseguem detectar a ameaça.
Segundo estágio: loader em PowerShell e distração da vítima
O segundo estágio, hospedado em um caminho como `phud.dudus.docx.pdf.olp.sys`, é um loader em PowerShell projetado para realizar várias tarefas em sequência:
– Baixar e abrir um arquivo isca (lure), geralmente um documento, para dar a impressão de que nada de anormal aconteceu e distrair o usuário.
– Encerrar processos ligados à execução de scripts e componentes .NET, como `mshta.exe`, `msbuild.exe`, `wscript.exe`, entre outros, possivelmente para remover rastros ou evitar conflitos.
– Apagar o arquivo JavaScript inicial do sistema, reduzindo ainda mais os vestígios da infecção.
– Decodificar um payload embutido no próprio script usando uma rotina XOR personalizada com a chave `”Lund@@@12345″`.
Esse mesmo script também constrói, de forma dinâmica, a URL do próximo estágio, algo do tipo `cpyzaramay26.blogspot.com/niple.docx.odp.pdf.sys`, inserindo um número aleatório de barras adicionais no caminho. Esse detalhe aparentemente simples é pensado justamente para atrapalhar mecanismos que dependem de assinaturas estáticas de URLs maliciosas.
Estágio final: decodificação em memória e uso intensivo de XOR
No estágio final, normalmente chamado de `niple.docx.odp.pdf.sys`, o código em PowerShell traz duas variáveis volumosas com longas listas de números decimais: `$lora` e `$PE`. Esses dados não fazem sentido à primeira vista, mas são a forma ofuscada de dois arquivos executáveis em .NET.
Uma função chamada `Convert-XorDecimalToExe` realiza todo o processo de reconstrução:
1. Reorganiza os dados em uma ordem específica.
2. Inverte a string para embaralhar ainda mais o conteúdo.
3. Converte os valores decimais em bytes.
4. Aplica novamente uma operação XOR, desta vez com a chave numérica 47.
Ao final, são gerados dois assemblies .NET em memória: `decoded_1.bin`, identificado como o próprio PureLog Stealer, e `decoded_2.bin`, um loader auxiliar que fornece suporte à execução.
Execução direto da memória e evasão de antivírus
Em vez de gravar esses executáveis no disco, o script usa ` [Reflection.Assembly]::Load()` para carregar os assemblies diretamente na memória. Assim, o malware é iniciado sem nunca produzir um arquivo físico que possa ser analisado por ferramentas de segurança baseadas em varredura de disco.
Esse modelo de ataque, conhecido como fileless (sem arquivos), é hoje um dos mais difíceis de detectar, pois depende fortemente de atividades em memória, scripting e abuso de componentes legítimos do sistema operacional.
LOLBINs: usando binários legítimos da Microsoft como escudo
Como camada extra de resiliência, o framework do Veil#Drop inclui múltiplos mecanismos de fallback. Caso o carregamento reflexivo na memória não funcione como esperado, o malware consegue se apoiar em binários legítimos da própria Microsoft, conhecidos como LOLBINs (Living Off The Land Binaries).
Entre eles estão ferramentas como RegSvcs, InstallUtil, MSBuild, CSC, VBC, ILAsm e AspNet_Compiler. Esses binários, assinados digitalmente e amplamente utilizados em ambientes corporativos, podem ser invocados para executar código malicioso de forma indireta. Isso ajuda a burlar políticas de allowlist e soluções de controle de aplicações que permitem apenas software assinado ou nativo do sistema.
Na prática, o malware “se esconde” atrás de processos considerados confiáveis, o que torna a detecção comportamental mais desafiadora.
O que o PureLog Stealer é capaz de roubar
Uma vez em execução, o PureLog Stealer inicia uma varredura silenciosa do sistema. Entre os principais alvos estão:
– Credenciais armazenadas em navegadores como Chrome, Edge, Firefox, Brave e Opera.
– Cookies, sessões autenticadas e dados de formulários salvos (autofill), que podem permitir o sequestro de contas sem nem precisar de senha.
– Carteiras de criptomoedas, incluindo extensões e aplicativos como MetaMask, Exodus, Atomic Wallet, Electrum e Trust Wallet.
– Informações detalhadas sobre o sistema infectado, úteis para reconhecimento e possíveis ataques futuros mais direcionados.
Todos esses dados são consolidados e enviados para servidores de comando e controle (C2) operados pelos criminosos. A partir daí, eles podem vender as informações, cometer fraudes financeiras, desviar ativos digitais, assumir contas pessoais e até abrir portas para invasões em redes corporativas.
O funcionamento é silencioso e, muitas vezes, sem qualquer sintoma visível para o usuário, permitindo que a infecção permaneça ativa por longos períodos.
Impactos para usuários e empresas
A campanha Veil#Drop é um exemplo claro de como ameaças modernas combinam múltiplas técnicas avançadas para maximizar o impacto:
– Uso de engenharia social para forçar o clique em um arquivo aparentemente legítimo.
– Abuso de serviços confiáveis (como domínios da Google) para entregar estágios maliciosos.
– Execução completamente em memória para evitar rastros óbvios.
– Ofuscação pesada com XOR e dados decimais para driblar análises automatizadas.
– Utilização de LOLBINs para operar “camuflado” em processos legítimos.
Para usuários domésticos, isso significa risco direto de perda de contas, dinheiro e criptomoedas. Para empresas, o perigo inclui comprometimento de acessos corporativos, roubo de dados sensíveis, uso indevido de contas de funcionários e aprofundamento de ataques, como movimentação lateral na rede ou ransomware.
Por que campanhas como Veil#Drop são difíceis de detectar
Vários fatores explicam a eficácia desse tipo de operação:
1. Fileless e foco em memória: quanto menos arquivos no disco, menor a chance de detecção por antivírus baseados em assinaturas de arquivos.
2. Uso de PowerShell e ferramentas nativas: muitas organizações dependem dessas ferramentas no dia a dia e não podem simplesmente bloqueá-las.
3. Infraestrutura em serviços populares: hospedar payloads em plataformas amplamente confiáveis dificulta bloqueios agressivos sem gerar falsos positivos.
4. Ofuscação intensa: múltiplas camadas de XOR e dados em formato decimal deixam o código ilegível para inspeções mais superficiais.
5. Múltiplos estágios: dividir a cadeia de infecção em várias fases reduz a chance de que uma única etapa revele o ataque por completo.
Por isso, contar apenas com antivírus tradicional já não é suficiente. É necessário combinar diferentes camadas de segurança, monitoramento de comportamento e conscientização de usuários.
Como reduzir o risco de infecção por campanhas semelhantes
Embora a campanha Veil#Drop seja tecnicamente complexa, algumas boas práticas podem reduzir significativamente a superfície de ataque:
– Desconfiar de anexos ou arquivos com extensões duplas, como `.pdf.js`, `.docx.exe` e variações, especialmente se vierem de remetentes pouco conhecidos.
– Exibir extensões de arquivo no Windows para não depender apenas do ícone ao identificar o tipo de arquivo.
– Restringir o uso de PowerShell e outros interpretadores de script, aplicando políticas que limitem sua execução apenas a administradores ou a scripts assinados.
– Implementar soluções de EDR (Endpoint Detection and Response) que monitorem o comportamento de processos, em vez de depender apenas de assinaturas.
– Utilizar autenticação multifator (MFA) para contas sensíveis, dificultando o uso imediato de credenciais roubadas.
– Manter navegadores e extensões sempre atualizados, reduzindo vulnerabilidades conhecidas.
– Segregar acessos corporativos e pessoais, evitando que um comprometimento em ambiente doméstico abra caminho para redes de trabalho.
Recomendações específicas para empresas
Para organizações, o desafio é ainda maior, pois ataques com stealers como o PureLog podem ser apenas o primeiro passo de um comprometimento mais profundo. Algumas medidas adicionais importantes:
– Políticas de allowlist de aplicações bem definidas, com monitoramento ativo de execuções incomuns de binários como MSBuild, InstallUtil e afins.
– Auditoria de uso de ferramentas administrativas (PowerShell, RegSvcs, ILAsm, CSC e outras) para identificar padrões suspeitos.
– Treinamentos periódicos de segurança da informação voltados para phishing, engenharia social e riscos de arquivos anexados ou baixados.
– Segmentação de rede e privilégios mínimos para reduzir o impacto caso uma estação de trabalho seja comprometida.
– Monitoramento de tráfego de saída em busca de conexões anômalas com servidores remotos usados como C2.
O que esse caso revela sobre a evolução do cibercrime
A campanha Veil#Drop ilustra uma tendência clara: criminosos digitais estão cada vez mais profissionais, combinando técnicas avançadas, conhecimento profundo de sistemas operacionais e uso criativo de serviços legítimos para driblar defesas.
Em vez de apostar apenas em malware clássico, os atacantes exploram:
– Cadeias de infecção em múltiplas etapas.
– Execução em memória e scripts dinâmicos.
– Ferramentas padrão do próprio sistema operacional para operar “dentro das regras”.
Esse cenário exige que tanto usuários comuns quanto empresas adotem uma postura mais madura em segurança, indo além da simples instalação de um antivírus. Vigilância constante, atualização de sistemas, políticas bem definidas e cultura de segurança tornam-se elementos essenciais para mitigar campanhas cada vez mais furtivas como o Veil#Drop.
