Novo malware instala três vírus diferentes no mesmo computador: como atua a campanha VOID#GEIST
Uma campanha maliciosa recente, batizada de VOID#GEIST, vem chamando a atenção de especialistas em segurança digital por sua sofisticação e pela forma como combina diferentes ferramentas em um único ataque. Em vez de instalar apenas um código malicioso, essa operação consegue entregar três trojans de acesso remoto (RATs) no mesmo equipamento: XWorm, AsyncRAT e Xeno RAT.
O ataque foi analisado por pesquisadores da Securonix, que identificaram uma arquitetura altamente modular, construída em múltiplas etapas, com foco em evasão de detecção e persistência discreta. Em vez de um único arquivo executável, os criminosos usam uma cadeia de scripts, binários legítimos e execução em memória para reduzir ao máximo os rastros deixados no sistema.
Arquitetura modular e execução em memória
Um dos aspectos mais marcantes da VOID#GEIST é o modelo modular. Cada parte do ataque tem uma função específica: um script inicia o processo, outro é responsável pelo download de componentes, um terceiro pela descriptografia e injeção dos payloads, e assim por diante. Essa fragmentação dificulta que soluções de segurança identifiquem o ataque observando apenas um ponto isolado.
Além disso, os operadores da campanha apostam em técnicas de execução “fileless”, isto é, que evitam gravar arquivos maliciosos no disco. O código é carregado diretamente na memória, reduzindo a eficácia de antivírus baseados em assinaturas e complicando a análise forense, já que muitos dados desaparecem quando a máquina é reiniciada.
Como começa a infecção: phishing e script em batch
O ponto de entrada costuma ser um e-mail de phishing com anexos ou links que levam ao download de um script em batch (.bat). Esse arquivo geralmente está hospedado em domínios temporários fornecidos por serviços como TryCloudflare, o que ajuda os atacantes a mudar de infraestrutura com frequência e a driblar bloqueios.
Quando o usuário executa o script, inicia-se uma cadeia automatizada de ações: o sistema faz o download de novos componentes, executa comandos em segundo plano e prepara o ambiente necessário para que os RATs sejam carregados de forma invisível.
Injeção de código em processos legítimos
Para executar o código malicioso sem chamar atenção, a campanha utiliza a técnica conhecida como Early Bird Asynchronous Procedure Call (APC) Injection. Na prática, shellcodes criptografados são injetados em processos legítimos do Windows, em especial o explorer.exe.
Ao se infiltrar em processos de confiança do sistema operacional, o malware consegue rodar como se fosse parte do próprio Windows. Isso reduz alertas, dificulta a detecção baseada em comportamento e torna mais árdua a vida de analistas de segurança, que precisam separar o que é atividade normal do que é malicioso dentro do mesmo processo.
PDF falso como distração
Enquanto toda essa atividade ocorre nos bastidores, a vítima é distraída com um falso documento em PDF, muitas vezes com aparência de fatura, nota fiscal ou demonstrativo financeiro. Esse arquivo é aberto em tela cheia no navegador – com frequência no Google Chrome – para dar a impressão de que a ação do usuário (por exemplo, clicar em um anexo de e-mail) teve um resultado legítimo.
Enquanto o usuário analisa o suposto documento, o malware continua sua rotina. Comandos PowerShell são executados com parâmetros ocultos, sem janelas visíveis, dando sequência à infecção e mantendo a aparência de normalidade no sistema.
Persistência silenciosa no Windows
Após comprometer o sistema, a campanha VOID#GEIST adota um método discreto para se manter ativa. Em vez de modificar chaves sensíveis do registro, criar serviços do sistema ou tarefas agendadas, o malware adiciona um script ao diretório de inicialização do Windows vinculado ao usuário.
Isso faz com que o código malicioso seja executado automaticamente sempre que o usuário fizer login, sem disparar avisos de elevação de privilégio. Essa escolha de um mecanismo de inicialização padrão do sistema ajuda a passar despercebido por soluções de segurança que monitoram alterações mais críticas, como serviços e tarefas do agendador.
Download dos componentes maliciosos
Em uma fase posterior, o malware baixa um conjunto de arquivos compactados que contêm os diferentes módulos necessários para o ataque. Entre eles estão:
– runn.py – script em Python responsável por descriptografar e injetar os payloads;
– new.bin – shellcode criptografado referente ao XWorm;
– xn.bin – shellcode do Xeno RAT;
– pul.bin – shellcode do AsyncRAT;
– Arquivos JSON que armazenam chaves de criptografia utilizadas no processo de descriptografia.
Essa organização reforça a lógica modular: cada arquivo tem uma função específica, e os operadores podem alterar apenas um componente (por exemplo, trocar o RAT ou as chaves) sem precisar redesenhar todo o ataque.
Python legítimo como ambiente de execução
Um diferencial importante da campanha é o uso de um runtime Python legítimo. Para garantir que o código funcione mesmo em máquinas onde o Python não está instalado, o malware baixa uma versão oficial da linguagem diretamente da fonte legítima, transformando o conjunto malicioso em um pacote portátil e autossuficiente.
Esse runtime é então utilizado para rodar o script runn.py, encarregado de descriptografar os payloads e injetá-los diretamente na memória. Ao reutilizar componentes confiáveis e assinados digitalmente, como o próprio Python, os criminosos conseguem se misturar mais facilmente ao tráfego e à atividade considerada normal pelo sistema.
Execução sequencial de três RATs
Com o ambiente pronto, a campanha passa à fase de ativação de suas principais ferramentas de controle remoto. Os três RATs são carregados de forma sequencial:
1. O script em Python injeta o XWorm no processo explorer.exe, dando ao atacante acesso inicial ao sistema;
2. Em seguida, um binário legítimo da Microsoft, o AppInstallerPythonRedirector.exe, é usado como veículo para carregar o Xeno RAT;
3. Por fim, o AsyncRAT é executado utilizando o mesmo tipo de injeção em memória, adicionando mais uma camada de capacidades de controle e espionagem.
A combinação de três ferramentas diferentes no mesmo computador aumenta o leque de funcionalidades disponíveis aos invasores, que podem, por exemplo, roubar credenciais, registrar teclas digitadas, capturar tela, exfiltrar arquivos e usar o computador comprometido como ponto de apoio para novos ataques.
Comunicação com o servidor de comando e controle
Ao concluir a cadeia de infecção, o malware envia um beacon HTTP para o servidor de comando e controle (C2), hospedado em infraestrutura baseada em TryCloudflare. Essa comunicação serve como confirmação de que a máquina foi comprometida e está pronta para receber instruções.
A partir daí, os operadores podem gerenciar remotamente cada máquina infectada, atualizar componentes, executar novos comandos, instalar ferramentas adicionais ou usar o dispositivo em campanhas de extorsão, roubo de dados ou movimentação lateral em redes corporativas.
Tendência: de malwares monolíticos a arquiteturas modulares
A análise da campanha VOID#GEIST evidencia uma tendência clara no cenário de ameaças: a substituição de malwares monolíticos – grandes executáveis com todas as funções embutidas – por arquiteturas modulares em múltiplas fases.
Esse modelo oferece diversas vantagens para os atacantes:
– Permite atualizar ou substituir componentes isoladamente;
– Aumenta a resiliência do ataque em caso de detecção parcial;
– Dificulta o trabalho de analistas, que passam a lidar com cadeias complexas em vez de um único arquivo;
– Facilita testes de novas ferramentas (como RATs diferentes) sem alterar toda a infraestrutura.
Para as equipes de defesa, isso significa que confiar apenas na análise de arquivos estáticos é cada vez menos eficaz. Torna-se fundamental observar o comportamento do sistema ao longo do tempo, identificando padrões suspeitos de atividade em memória e cadeias de execução incomuns.
Indicadores comportamentais e detecção
Entre os indicadores mais relevantes associados à campanha, os pesquisadores destacam a injeção repetida de código no processo explorer.exe em intervalos curtos. Esse tipo de comportamento, sobretudo quando combinado com a execução incomum de scripts PowerShell e Python baixados em tempo de execução, pode servir como alerta para ferramentas modernas de monitoramento.
Soluções de segurança focadas em EDR (Endpoint Detection and Response) e XDR (Extended Detection and Response), que analisam processos em tempo real, trilhas de execução e relacionamentos entre processos, tendem a ter mais chances de identificar essa atividade anômala do que antivírus baseados apenas em assinaturas de arquivos.
Riscos para empresas e usuários finais
A presença simultânea de XWorm, AsyncRAT e Xeno RAT em um mesmo computador eleva significativamente o risco para organizações e usuários domésticos. Entre os impactos possíveis estão:
– Roubo de credenciais de acesso a e-mails, VPNs, sistemas corporativos e serviços financeiros;
– Espionagem corporativa, com vazamento de documentos internos, contratos e informações estratégicas;
– Uso da máquina infectada como “pivô” para invadir outros equipamentos da mesma rede;
– Instalação de ransomwares ou participação em ataques distribuídos (DDoS);
– Comprometimento prolongado, devido à persistência discreta e capacidade de atualização modular.
Em ambientes corporativos, uma única máquina infectada pode servir de porta de entrada para toda a rede, especialmente se o usuário possuir privilégios elevados ou acesso a sistemas críticos.
Medidas de prevenção e boas práticas
Diante da sofisticação de campanhas como a VOID#GEIST, a prevenção precisa ser pensada em várias camadas. Algumas medidas essenciais incluem:
– Treinamento constante contra phishing: como a infecção começa com e-mails maliciosos, usuários devem ser orientados a desconfiar de anexos inesperados, faturas não solicitadas e links suspeitos;
– Restrição à execução de scripts: políticas que limitam a execução de arquivos batch, PowerShell e Python desconhecidos reduzem drasticamente a superfície de ataque;
– Aplicação do princípio do menor privilégio: contas de usuário sem privilégios administrativos dificultam a manutenção da persistência e a movimentação lateral;
– Monitoramento de processos críticos: observar comportamentos anômalos em processos como explorer.exe e uso incomum de PowerShell é vital;
– Atualização e segmentação de rede: manter sistemas atualizados e segmentar a rede ajuda a conter a propagação caso ocorra uma infecção.
Para usuários domésticos, vale reforçar ainda o uso de soluções de segurança confiáveis, atualização regular do sistema operacional e desconfiança extra com anexos relacionados a finanças, cobranças e notas fiscais.
O que esperar da evolução dessas campanhas
Campanhas como a VOID#GEIST tendem a evoluir rapidamente. É provável que os operadores passem a integrar novos RATs, alterem técnicas de injeção, diversifiquem os documentos isca (por exemplo, substituindo PDFs por planilhas ou arquivos de assinatura eletrônica) e explorem outros binários legítimos como vetores de execução.
Ao mesmo tempo, fornecedores de segurança devem intensificar o foco em detecção baseada em comportamento, uso de inteligência de ameaças em tempo real e correlação de eventos em diferentes camadas (rede, endpoint, identidade). A disputa passa a ser menos sobre “identificar um arquivo malicioso” e mais sobre reconhecer cadeias complexas que, somadas, caracterizam um ataque.
—
VOID#GEIST deixa claro que o cibercrime está adotando estruturas mais flexíveis, modulares e furtivas. A resposta eficaz exige não apenas ferramentas avançadas, mas também atualização contínua de processos internos, políticas de segurança e, principalmente, conscientização dos usuários que continuam sendo a primeira linha – e muitas vezes o elo mais frágil – na defesa digital.