Novo malware instala três trojans diferentes no mesmo computador
Uma nova campanha de ataque batizada de VOID#GEIST está chamando a atenção de especialistas em segurança digital por usar uma cadeia de infecção em múltiplos estágios para instalar, em um único equipamento, três diferentes trojans de acesso remoto (RATs): XWorm, AsyncRAT e Xeno RAT. A análise da operação revelou uma arquitetura altamente modular, pensada para escapar de soluções de segurança tradicionais e tornar a investigação forense muito mais complexa.
Ao invés de entregar um único arquivo executável malicioso, os operadores do VOID#GEIST apostam em um pipeline com vários componentes, scripts e shells, que são acionados em sequência. A maior parte do código malicioso é executada diretamente na memória (fileless), o que reduz a quantidade de artefatos gravados em disco e, consequentemente, a probabilidade de detecção por antivírus baseados apenas em assinaturas ou análise estática de arquivos.
Cadeia de infecção começa com phishing e script em batch
O ponto de partida dos ataques é um e-mail de phishing que direciona a vítima para o download de um script em formato batch (.bat). Esse arquivo costuma ser hospedado em domínios temporários que utilizam a infraestrutura de tunelamento do TryCloudflare, o que dificulta o bloqueio por listas de reputação e filtros de URL.
Assim que o usuário executa o script, inicia-se uma série de ações automatizadas: o batch realiza o download de novos componentes, invoca comandos em PowerShell de forma silenciosa e prepara o ambiente para que todo o restante da infecção ocorra sem que o usuário perceba qualquer atividade suspeita na tela.
Injeção em processos legítimos e execução fileless
Um dos elementos centrais da campanha é o uso da técnica conhecida como Early Bird Asynchronous Procedure Call (APC) Injection. Por meio dela, shellcodes criptografados são injetados diretamente em processos legítimos do Windows, com destaque para o explorer.exe, que é um dos processos centrais da interface do sistema operacional.
Ao utilizar injeção em processos confiáveis, os atacantes conseguem executar código malicioso sem criar executáveis visíveis no disco. Isso não apenas reduz a probabilidade de alerta em ferramentas de proteção, como também complica o trabalho de análise posterior, já que boa parte da lógica do ataque vive apenas na memória e desaparece quando a máquina é reiniciada, se nenhuma persistência adicional tiver sido configurada.
Documento falso em PDF como distração
Enquanto o código malicioso age em segundo plano, o usuário é distraído com um arquivo PDF aparentemente legítimo, muitas vezes contendo o que parecem ser documentos financeiros, notas fiscais ou faturas. O arquivo costuma ser exibido em tela cheia no navegador – em geral no Google Chrome -, o que passa a impressão de que nada de errado aconteceu ao abrir o anexo ou o link recebido por e-mail.
Nesse intervalo, enquanto a vítima lê o conteúdo falso, comandos em PowerShell são acionados com parâmetros ocultos, sem abrir janelas visíveis ou solicitar interação. Essa abordagem reduz drasticamente a chance de a vítima perceber que algo suspeito está ocorrendo no sistema.
Persistência discreta no sistema
Para garantir que o acesso ao computador não seja perdido após um reinício, o VOID#GEIST adiciona um script extra na pasta de inicialização do usuário no Windows. Isso faz com que o código malicioso seja executado automaticamente toda vez que a pessoa faz login no sistema.
Essa estratégia é mais discreta do que métodos tradicionais usados por outros malwares, como a modificação de chaves de registro críticas, criação de serviços de sistema ou tarefas agendadas. Ao aproveitar apenas mecanismos padrão de inicialização do perfil de usuário, o malware evita solicitações de elevação de privilégio e diminui a chance de disparar alertas de segurança.
Download de componentes e uso de Python legítimo
Em um estágio mais avançado da infecção, o malware baixa um pacote de arquivos compactados contendo vários elementos maliciosos:
– runn.py – script em Python responsável por descriptografar e injetar os payloads;
– new.bin – shellcode criptografado do XWorm;
– xn.bin – shellcode do Xeno RAT;
– pul.bin – shellcode do AsyncRAT;
– Arquivos JSON com as chaves de criptografia utilizadas no processo.
Um detalhe importante é que os operadores garantem o funcionamento mesmo em máquinas que não tenham Python instalado. Para isso, baixam um runtime Python legítimo direto da fonte oficial e o utilizam como se fosse parte integrante do malware, transformando todo o conjunto em um ambiente portátil de execução.
Com esse runtime pronto, o script runn.py é executado para descriptografar os payloads e carregá-los diretamente na memória, sem depender da instalação prévia de Python no sistema operacional.
Execução sequencial de múltiplos RATs
Uma vez que o ambiente está preparado, os três RATs são injetados e executados de forma sequencial:
1. O script em Python injeta primeiro o XWorm no processo explorer.exe.
2. Em seguida, é usado um binário legítimo da Microsoft – o AppInstallerPythonRedirector.exe – para iniciar o Xeno RAT, explorando novamente a confiança em arquivos assinados pelo próprio fabricante do sistema.
3. Por último, o loader aciona o AsyncRAT, recorrendo ao mesmo mecanismo de injeção em processos.
Ao final dessas etapas, a máquina passa a hospedar simultaneamente três trojans com capacidades de acesso remoto, espionagem, exfiltração de dados e controle total do dispositivo comprometido.
Comunicação com o servidor de comando e controle
Depois de concluir a instalação e execução dos RATs, o malware envia um beacon HTTP para um servidor de comando e controle (C2) operando sobre infraestrutura TryCloudflare. Essa comunicação serve para informar aos criminosos que a infecção foi bem-sucedida e que a máquina está pronta para receber instruções, como download de novos módulos, roubo de credenciais ou participação em outras campanhas maliciosas.
Arquitetura modular: tendência em ataques avançados
A análise da campanha VOID#GEIST reforça um movimento crescente no cenário de ameaças: a substituição de malwares monolíticos por arquiteturas modulares, distribuídas em várias fases. Em vez de um único executável contendo todas as funções, os atacantes dividem a operação em blocos independentes – scripts, shells, loaders, runtimes e RATs – que podem ser atualizados ou trocados individualmente.
Esse modelo garante maior flexibilidade no desenvolvimento, facilita a reciclagem de componentes já existentes e aumenta a resiliência da operação. Se uma parte da cadeia de infecção passa a ser detectada com frequência, basta ajustar ou substituir aquele módulo específico, mantendo o restante da infraestrutura intacta.
Indicadores comportamentais e detecção
Entre os sinais que podem indicar a presença do VOID#GEIST, pesquisadores destacam um padrão de injeção repetida de código no processo explorer.exe, em intervalos relativamente curtos. Esse tipo de atividade, quando monitorado por soluções modernas de detecção baseadas em comportamento, pode servir como um importante indicador de comprometimento.
Além disso, a combinação de fatores como execução de scripts batch ofuscados, uso extensivo de PowerShell sem janelas visíveis, download de runtimes legítimos de linguagens de programação e abertura de PDFs suspeitos em tela cheia deve acender um alerta em equipes de segurança corporativa.
Riscos práticos para empresas e usuários
Para empresas, uma infecção por VOID#GEIST é particularmente preocupante porque três RATs atuando em paralelo oferecem um amplo leque de funções maliciosas: captura de teclado, roubo de senhas salvas em navegadores, acesso a arquivos internos, movimentação lateral na rede, instalação de ransomwares e muito mais. Como a persistência é discreta e a execução é majoritariamente em memória, o ataque pode se manter ativo por longos períodos sem ser percebido.
Usuários domésticos também correm riscos significativos: acesso a contas bancárias e de redes sociais, uso da máquina como parte de botnets, espionagem via webcam e microfone, além de se tornarem ponto de entrada para ataques a ambientes corporativos, no caso de dispositivos pessoais usados para trabalho remoto.
Como reduzir a exposição a ameaças semelhantes
Para mitigar o risco de campanhas como VOID#GEIST, algumas medidas são especialmente relevantes:
– Reforço em filtros de e-mail: bloquear anexos suspeitos, scripts e arquivos comprimidos provenientes de remetentes não confiáveis.
– Treinamento de usuários: conscientizar sobre riscos de abrir anexos ou clicar em links inesperados, principalmente relacionados a faturas, cobranças e notas fiscais.
– Monitoramento de PowerShell e scripts: configurar políticas que registrem e, quando possível, limitem a execução de comandos sem janela ou com parâmetros obfuscados.
– Soluções de segurança com foco em comportamento: adotar ferramentas capazes de identificar injeção de código em processos legítimos e padrões anômalos de acesso à memória.
– Inventário e controle de aplicações: observar downloads inesperados de runtimes de linguagens de programação e binários legítimos usados fora de contexto.
Papel da inteligência de ameaças e resposta rápida
Campanhas complexas como VOID#GEIST evidenciam a importância de monitorar continuamente novas táticas, técnicas e procedimentos utilizados por grupos criminosos. A integração entre equipes de segurança, análise de logs, telemetria avançada e atualização de regras de detecção baseada em comportamento é essencial para identificar rapidamente padrões de ataque modular.
Além disso, a capacidade de resposta rápida – com isolamento de máquinas suspeitas, coleta de memória para análise, restauração segura de sistemas e revogação de credenciais – é determinante para limitar o impacto de infecções que exploram intensamente a execução em memória e a persistência discreta.
A evolução evidenciada por VOID#GEIST indica que ambientes corporativos e usuários finais precisam ir além da proteção tradicional baseada apenas em antivírus, adotando uma visão mais ampla, que combina prevenção, detecção em profundidade e resposta coordenada a incidentes.