Uma nova variante do malware ladrão de informações DarkCloud foi observada visando sistemas Microsoft Windows, afetando principalmente os usuários do Windows coletando dados confidenciais, como credenciais de login, informações financeiras e contatos pessoais.
Descoberta no início de julho de 2025 pelo FortiGuard Labs da Fortinet, essa campanha de alta gravidade aproveita táticas sofisticadas de phishing para iniciar infecções, demonstrando métodos avançados de evasão, incluindo execução sem arquivo e esvaziamento de processo.
O DarkCloud, identificado pela primeira vez em 2022, é um malware furtivo baseado no Windows projetado para exfiltrar uma ampla gama de informações confidenciais de máquinas comprometidas, apresentando riscos substanciais à privacidade individual e à segurança organizacional.
Explora técnicas sem arquivo
A cadeia de infecção da campanha começa com um e-mail de phishing contendo um arquivo RAR disfarçado de citação urgente, sem qualquer corpo de mensagem para aumentar a curiosidade e estimular a interação imediata.
Após a extração, o arquivo revela um arquivo JavaScript autônomo que, quando executado por meio de WScript.exe, desofusca e inicia o código do PowerShell codificado em Base64.
Esse script do PowerShell baixa uma imagem JPEG aparentemente inócua inserida com uma DLL .NET criptografada, disfarçada como um assembly Microsoft.Win32.TaskScheduler legítimo.
A DLL é carregada reflexivamente usando [Reflection.Assembly]::Load() e invoca o método VAI(), passando parâmetros que facilitam a persistência e a implantação da carga útil.
O módulo .NET estabelece a persistência do sistema copiando o arquivo JavaScript inicial para um diretório público (por exemplo, C:UsersPublicDownloadsedriophthalma.js) e adicionando uma entrada de registro de execução automática em HKCUSOFTWAREMicrosoftWindowsCurrentVersionRun, garantindo a execução automática na inicialização.
Em seguida, ele decodifica uma string Base64 invertida para recuperar uma URL (hxxp://paste[.]ee/d/0WhDakVP/0), do qual ele baixa um arquivo PE invertido.
Esse arquivo é revertido, convertido de hexadecimal para binário e injetado em um processo de MSBuild.exe suspenso por meio de esvaziamento de processo, utilizando APIs do Windows, como CreateProcess(), NtUnmapViewOfSection(), WriteProcessMemory(), SetThreadContext() e ResumeThread() para esvaziar o processo legítimo e executar o malware secretamente.
A carga útil do DarkCloud, implementada no Microsoft Visual Basic 6, incorpora recursos anti-análise, como mais de 600 cadeias de caracteres constantes criptografadas descriptografadas em tempo de execução e um mecanismo anti-sandbox que monitora a atividade do teclado e do mouse por meio de chamadas GetAsyncKeyState(), permanecendo inativo até que a interação do usuário seja detectada para evitar ambientes de análise automatizados.
Mecanismos de exfiltração
Uma vez ativo, o malware coleta sistematicamente informações básicas do sistema, incluindo nome do computador e nome de usuário via rtcEnvironVar() e o IP público da vítima do http://showip.NET.
Ele tem como alvo credenciais e detalhes de pagamento de navegadores como Google Chrome, Microsoft Edge, Mozilla Firefox e Brave, consultando bancos de dados SQLite em caminhos de perfil para dados de login e informações de cartão de crédito usando instruções SQL como “SELECT origin_url, username_value password_value FROM logins” e descriptografando campos criptografados com um EXE auxiliar descartado.
Dados adicionais são coletados de clientes de e-mail (por exemplo, Mozilla Thunderbird, Microsoft Outlook), ferramentas de FTP (por exemplo, WinSCP, FileZilla) e aplicativos como Adobe, dnSpy e Wireshark, armazenando saídas em arquivos de texto locais.
De acordo com o relatório, Os contatos de e-mail são extraídos e salvos de forma semelhante em arquivos como ThunderBirdContacts.txt ou OutlookContacts.txt.
A exfiltração ocorre principalmente via SMTP, com detalhes do servidor descriptografados permitindo que o malware anexe esses arquivos a e-mails, incorporando detalhes da vítima na linha de assunto para identificação do invasor, tudo transmitido por TLS para manter a discrição.
As proteções da Fortinet mitigam essa ameaça por meio de serviços AntiSPAM, Filtragem da Web, IPS e Antivírus, detectando e-mails de phishing, URLs maliciosos e cargas úteis com assinaturas como JS/DarkCloud.ACVJ!tr e W32/DarkCloud.QU!tr.
Os usuários são aconselhados a habilitar a verificação em tempo real e passar por treinamento de conscientização de segurança para reconhecer essas tentativas de phishing.
Indicadores de Comprometimento (IOCs)
| Tipo | Indicador |
|---|---|
| URL | hxxps://archive[.]org/download/universe-1733359315202-8750/universe-1733359315202-8750.jpg |
| URL | hxxp://paste[.]ee/d/0WhDakVP/0 |
| SHA-256 (JS) | 381AA445E173341F39E464E4F79B89C9ED058631BCBBB2792D9ECBDF9FFE027D |
| SHA-256 (Carga Útil) | 82BA4340BE2E07BB74347ADE0B7B43F12CF8503A8FA535F154D2E228EFBEF69C |
The Ultimate SOC-as-a-Service Pricing Guide for 2025–Baixe de graça