Antivírus cego: novo malware se esconde em imagens PNG e domina o Windows
Por Lillian Sibila Dala Costa • Editado por Jones Oliveira |
Pesquisadores da empresa de segurança Veracode descobriram um pacote npm malicioso que esconde o trojan de acesso remoto (RAT) Pulsar, escrito em .NET, em imagens PNG. Altamente complexo, o malware combina vários processos conhecidos para confundir antivírus e detecção pelo usuário, dando a impressão de que é apenas um repositório antigo comum.
- Esteganografia: a história das mensagens ocultas e como chegaram ao ChatGPT
- O que é uma vulnerabilidade de dia zero (Zero-Day)?
O arquivo JSON do vírus já começa com typosquatting para fingir ser o legítimo buildrunner, cujos pacotes npm já foram abandonados: a jogada faz com que o desenvolvedor que nota o pacote busque pelo seu nome e pense que se trata de uma variante recente e ignore o arquivo, deixando que instale o RAT na máquina.
Esteganografia, detecção de antivírus e mais
Todo o processo de instalação do malware é longo e complexo de propósito. Tudo começa quando o usuário roda qualquer npm install, mas isso só traz um downloader separado, que se liga à pasta de inicialização do Windows com um nome aleatório para seguir na máquina sem levantar suspeitas. Na próxima vez que o computador é ligado, então, o arquivo age.
De todas as 1.653 linhas do vírus, somente 21 importam, ofuscando os comandos em meio a texto lixo. Caso alguém abra o arquivo, nada fará muito sentido, o que pode fazer com que passe despercebido. Há muitas camadas: o comando malicioso é separado entre 909 variáveis diferentes, sendo que 51 delas codificam strings em base64 que se tornam comandos inofensivos.
Tudo isso evita a detecção e, finalmente, quando o malware age, ele gera uma cópia de si mesmo, garante a obtenção de privilégios de administrador e lança o payload. Duas imagens escondem, com esteganografia, códigos maliciosos nos pixels, responsáveis por detectar antivírus: para cada marca, uma série de comandos diferentes é executada, mostrando adaptação complexa ao ambiente.
Usando tipos de arquivo que evitam análise dos antivírus comuns e reescrevendo partes de seu código, o malware começa a esvaziar processos do Windows para substituí-los pelo agente malicioso e fazer com que pareça legítimo.
Sequer o uso de memória sofre modificações, fazendo com que a máquina acredite que tudo está bem. Por fim, o arquivo ainda usa uma última imagem esteganográfica para rodar o RAT.
O programa em si é o Pulsar, já descrito pela Veracode em junho de 2025, com um malware “irmão” chamado Quasar. Para os programadores de plantão, convém ficar de olho no pacote buildrunner-dev para detectar qualquer anormalidade como as descritas aqui e bloquear a URL hxxps://i.ibb[.]co/tpyTL2Zg/s9rugowxbq8i.png, que representa o arquivo malicioso em si.
Veja mais:
- Brasil está no top 3 de países com mais ataques de ransomware no mundo
- 16 falhas de dia zero em leitores de PDF colocam PCs em risco
- Malware pré-instalado no Android pode acessar dados bancários do usuário
Fonte: Veracode