Os pesquisadores da Unidade 42 identificaram uma evolução significativa nas táticas de distribuição do DarkCloud Stealer, um malware infostealer observado pela primeira vez mudando seus mecanismos de entrega no início de abril de 2025.
Esta atualização apresenta uma nova cadeia de infecção que incorpora ofuscação avançada via ConfuserEx, culminando em uma carga útil do Visual Basic 6 (VB6) projetada para impedir a análise estática e dinâmica.
Estratégias de ofuscação
Ataques documentados anteriormente baseados Scripts de AutoIt para evasão, mas as variantes mais recentes empregam esquemas de criptografia e proteção em várias camadas em três cadeias distintas, cada uma iniciada por e-mails de phishing contendo arquivos TAR, RAR ou 7Z.
Esses arquivos fornecem JavaScript (JS) ou Windows Script Files (WSF) ofuscados, que, por sua vez, buscam scripts do PowerShell (PS1) de servidores de diretório abertos.
Os scripts PS1, criptografados com Base64 e AES, descartam e executam executáveis protegidos pelo ConfuserEx, incorporando a carga útil final do DarkCloud.
A complexidade dessa cadeia, incluindo ofuscador de javascript para arquivos JS e descriptografia AES personalizada no PS1, ressalta o foco dos agentes de ameaças em complicar a engenharia reversa, mantendo ampla compatibilidade com ambientes Windows.
Detalhamento técnico do ConfuserEx
Investigando a estrutura do malware, o executável .NET protegido por ConfuserEx apresenta antiadulteração por meio de descriptografia do corpo do método de tempo de execução no construtor do módulo, renomeação de símbolos para identificadores não ASCII, ofuscação de fluxo de controle com predicados opacos, métodos de chamada de proxy para ocultar invocações diretas e codificação constante.
De acordo com o relatório, os pesquisadores os derrotaram usando ferramentas como AntiTamperKiller para remover instruções inválidas, de4dot-cex para restauração de símbolos e desnivelamento do fluxo de controle e removedores de chamadas de proxy para simplificar a lógica, revelando métodos .NET padrão, como Convert.FromBase64String.
A carga descriptografada, armazenada na forma criptografada Triple DES (3DES) em uma matriz de bytes formatada em Length-Value inicializada via XOR e operações bit a bit em uma grande matriz de inteiros sem sinal, é então injetada por meio de esvaziamento de processo em uma instância suspensa do processo de RegAsm.exe legítimo.
Essa técnica RunPE permite que o executável DarkCloud baseado em VB6 seja executado furtivamente, com strings incorporadas como “DARKCLOUD” confirmando sua identidade.
Strings críticas, incluindo expressões regulares, caminhos de registro, extensões de arquivo e credenciais da API do Telegram para comando e controle (C2), são criptografadas usando RC4 com chaves exclusivas por texto cifrado, aumentando a resiliência anti-análise.
O uso de objetos ActiveX pelo malware para downloads e execuções, combinado com a nomenclatura aleatória de arquivos em diretórios temporários, facilita a persistência e a exfiltração de dados para Bots do Telegram.
Essa adaptação nas táticas do DarkCloud destaca uma corrida armamentista contínua em ameaças cibernéticas, onde camadas de ofuscação como ConfuserEx e integração VB6 visam contornar as detecções tradicionais baseadas em assinatura, enfatizando a necessidade de análises baseadas em comportamento.
As equipes de segurança devem priorizar o monitoramento de injeções de processos anômalos, execuções de scripts criptografados e conexões com IPs mal-intencionados conhecidos.
Os produtos da Palo Alto Networks, incluindo Advanced WildFire para análise orientada por aprendizado de máquina, Advanced URL Filtering e DNS Security para bloquear domínios associados e Cortex XDR/XSIAM para prevenir malware desconhecido por meio de proteção contra ameaças comportamentais, oferecem defesas robustas.
Em casos de suspeita de comprometimento, o envolvimento imediato com as equipes de resposta a incidentes é aconselhado para mitigar os riscos desse infostealer em evolução.
Indicadores de comprometimento
| Tipo de arquivo | SHA256 Hash |
|---|---|
| Arquivo RAR | bd8c0b0503741c17d75ce560a10eeeaa0cdd21dff323d9f1644c62b7b8eb43d9 |
| Arquivo TAR | 9588c9a754574246d179c9fb05fea9dc5762c855a3a2a4823b402217f82a71c1 |
| Arquivo JS | 6b8a4c3d4a4a0a3aea50037744c5fec26a38d3fb6a596d006457f1c51bbc75c7 |
| Arquivo PS1 | f6d9198bd707c49454b83687af926ccb8d13c7e43514f59eac1507467e8fb140 |
| Arquivo WSF | 72d3de12a0aa8ce87a64a70807f0769c332816f27dcf8286b91e6819e2197aa8 |
| Arquivo 7Z | fa598e761201582d41a73d174eb5edad10f709238d99e0bf698da1601c71d1ca |
| Arquivo 7Z | 2bd43f839d5f77f22f619395461c1eeaee9234009b475231212b88bd510d00b7 |
| Arquivo EXE ConfuserEx .NET inicial | 24552408d849799b2cac983d499b1f32c88c10f88319339d0eec00fb01bb19b4 |
| Arquivo EXE final do DarkCloud VB6 | ce3a3e46ca65d779d687c7e58fb4a2eb784e5b1b4cebe33dbb2bf37cccb6f194 |
| URL de distribuição de malware | hxxp://176.65.142.190 |
| C2 URL | hxxps://api.telegram.org/bot7684022823:AAFw0jHSu-b4qs6N7yC88nUOR8ovPrCdIrs/sendMessage?chat_id=6542615755 |
The Ultimate SOC-as-a-Service Pricing Guide for 2025–Baixe de graça