O K7 Labs investigou o Cmimai Stealer, um infostealer baseado em Visual Basic Script (VBS) que surgiu em junho de 2025 e usa PowerShell e scripts nativos do Windows para exfiltrar dados secretamente. Este é um desenvolvimento recente no ambiente de segurança cibernética.
Esse malware, destacado pela primeira vez em um tweet, opera como uma ferramenta leve de agente de ameaças que contorna as políticas de execução, gera efêmeras Scripts do PowerShelle coleta sistematicamente metadados do sistema e do navegador antes de transmiti-los por meio de webhooks do Discord.
Notavelmente, uma amostra adicional surgiu em 28 de junho de 2025, apresentando um URL de webhook distinto, indicando possíveis variantes ou evoluções de campanha.
Funcionalidade principal do Cmimai Stealer
O ladrão é inicializado registrando eventos de execução em um arquivo temporário chamado “vbs_reporter_log.txt” no diretório %TEMP% do sistema e, em seguida, consulta a Instrumentação de Gerenciamento do Windows (WMI) por meio da classe Win32_OperatingSystem para extrair detalhes críticos do sistema, como versão do sistema operacional, legenda, nome de usuário atual, nome do computador e carimbos de data/hora.
Esses dados são formatados em uma carga JSON e expedidos usando WinHttpRequest.5.1 ou voltando para MSXML2. Objetos XMLHTTP sobre HTTPS, garantindo exfiltração confiável para canais Discord controlados por invasores.
O módulo de coleta de metadados do navegador do script cria e executa dinamicamente “vbs_ps_browser.ps1”, que analisa os arquivos JSON de estado local de navegadores baseados em Chromium, como Google Chrome e Microsoft Edge, recuperando nomes de perfil de usuário, endereços de email e chaves mestras criptografadas (codificadas em base64 como “encrypted_key” ou “app_bound_encrypted_key”).
Embora isso posicione o malware para potencialmente descriptografar artefatos confidenciais, como dados de login ou cookies para roubo de credenciais, as amostras analisadas carecem de módulos para descriptografia real ou exfiltração adicional, sugerindo um design focado no reconhecimento em vez de pilhagem de dados completa.
Complementando isso, um componente de captura de tela implanta “vbs_ps_diag.ps1”, utilizando assemblies .NET, incluindo System.Drawing e System.Windows.Forms, para capturar a tela principal, compactá-la em um JPEG de 70% de qualidade abaixo de 8 MB para cumprir os limites de upload do Discord e integrá-la à carga útil do webhook.
A persistência é obtida por meio de um loop infinito que reativa o relatório de diagnóstico a cada 60 minutos, permitindo a vigilância contínua sem a necessidade de reinicializações do sistema ou técnicas avançadas de evasão.
Implicações da ameaça
Do ponto de vista defensivo, a pegada operacional do Cmimai Stealer oferece vários vetores de detecção, incluindo cadeias de processos pai-filho anômalas em que wscript.exe gera powershell.exe com políticas de execução ignoradas e estilos de janela ocultos, como visto em comandos como “powershell.exe -NoProfile -ExecutionPolicy Bypass -WindowStyle Hidden -File vbs_ps_browser.ps1” para raspagem do navegador ou “vbs_ps_diag.ps1” para captura de tela.
Os indicadores do sistema de arquivos abrangem artefatos temporários, como os scripts do PowerShell mencionados acima, arquivos de log e saídas de imagem como “vbs_diag_*.jpg” em %TEMP%.
Telemetria de rede Revela Tráfego HTTPS para discord.com/api/webhooks endpoints com uma string distinta de User-Agent “Cmimai Stealer VBS UI Rev”, facilitando o bloqueio baseado em assinatura em endpoints ou gateways, enquanto as regras YARA podem caçar padrões de script enfatizando consultas WMI e ganchos do Discord.
Embora não tenha recursos robustos, como persistência de reinicialização, comunicações criptografadas ou descriptografia direta de credenciais, a dupla utilidade desse infostealer como ladrão de dados e ativo de reconhecimento de segundo estágio ressalta seu potencial em ataques multifásicos, ainda não atribuídos a nenhuma família de malware estabelecida.
Os defensores são aconselhados a monitorar o tráfego inesperado vinculado ao Discord de sistemas confidenciais e sinalizar execuções de script de alto risco para mitigar a proliferação.
Indicador de Comprometimento (IoCs)
| HASH | NOME DA DETECÇÃO |
|---|---|
| 85d55caca5b341696382680eb3550918 | Trojan (0001140e1) |
| ea792d0458d40471cefa26ebccf4ed45 | Trojan (0001140e1) |
Ache esta notícia interessante! Siga-nos noGoogle Notícias,LinkedIn, &Xpara obter atualizações instantâneas!