VIPKeyLogger Infostealer em Ação

24 de janeiro de 2025 |

0 minutos de leitura

Prashant Kumar

Infostealers são um tipo de trojan amplamente utilizado por autores de malware para coletar dados sensíveis, como credenciais de login, informações financeiras, dados do sistema e informações pessoais identificáveis.

Recentemente, observamos um aumento na atividade de um novo infostealer conhecido como VIPKeyLogger. Neste artigo, analisaremos esse malware em mais detalhes.

O VIPKeyLogger compartilha diversas semelhanças com o Snake Keylogger, baseado em assinatura, também conhecido como 404 Keylogger.

Esse novo infostealer circula por meio de campanhas de phishing como um anexo que se apresenta na forma de arquivos compactados ou arquivos do Microsoft 365. O arquivo compactado contém conteúdo executável em arquivos do Microsoft Office distribuídos por meio de C2.

Cadeia de Ataque:

Arquivo do Email:

InfoStealers-wild-image-2 — **Fig. 1 - Email original**

Arquivo Doc malicioso:

InfoStealers-wild-image-3 — **Fig. 2 - Documento malicioso**

O arquivo apresenta características semelhantes a outros relacionados ao CVE-2017-11882. Ao analisar o arquivo, identificamos que é um arquivo RTF com base nos seus cabeçalhos.

InfoStealers-wild-image-4 — **Fig. 3 - Cabeçalho do arquivo**

Ao examinar um dump do arquivo, encontramos a seção objdata, que contém conteúdos codificados.

InfoStealers-wild-image-5 — **Fig. 4 - Dump do arquivo RTF**

A partir deste ponto, é possível extrair o conteúdo do objdata para inspecioná-lo.

InfoStealers-wild-image-6 — **Fig. 5 - Conteúdo extraído**

Na etapa seguinte, extraímos outros objetos. A partir disso, identificamos conteúdo relacionado aos dados do objeto, que se resolvem em um URL usado para baixar um executável malicioso.

InfoStealers-wild-image-7 — **Fig. 5.1 - Conteúdo parcial do arquivo RTF**

Após remover linhas em branco e espaços, é possível restaurar os dados do objeto responsáveis por formar o URL:

InfoStealers-wild-image-8 — **Fig. 6 – Objeto Restaurado**

O conteúdo da Fig. 6 é responsável por conectar ao URL: http[:]//87[.]120.84.39/txt/xXdqUOrM1vD3An[.]exe e baixar o arquivo malicioso.

O arquivo baixado foi identificado como um arquivo compilado em .NET, conforme mostrado abaixo:

InfoStealers-wild-image-9 — **Fig. 7 - Arquivo compilado em .NET**

Em seguida, utilizamos o DnSpy para uma análise mais aprofundada. O arquivo carrega com o nome skkV[.]exe, independentemente do nome real do arquivo.

InfoStealers-wild-image-10 — **Fig. 8 – Visão do arquivo no DnSpy**

O arquivo contém várias classes. A execução inicia na classe MainForm(), que possui diversas conversões de ToCharArray.

InfoStealers-wild-image-11 — **Fig. 9 – Inicialização Principal**

Na seção de Recursos, há uma imagem bitmap chamada vmGP, que parece ser uma imagem ruidosa e granulada. O código ofuscado está oculto nesta imagem esteganográfica.

InfoStealers-wild-image-12 — **Fig. 10 – Imagem Esteganográfica**

Após análise adicional, descobrimos que este payload exfiltra diversos tipos de dados, como:

InfoStealers-wild-image-13 — **Fig. 11 - Tipos de dados coletados**

InfoStealers-wild-image-14 — **Fig. 11.2 - Exemplos de dados exfiltrados**

InfoStealers-wild-image-15 — **Fig. 11.3 - Mais exemplos de dados exfiltrados**

InfoStealers-wild-image-16 — **Fig. 11.4 - Strings extraídas do arquivo PE na memória**

Conclusão:

Keyloggers são uma das ameaças mais comuns no arsenal de um hacker. Eles são entregues por meio de campanhas de phishing que hospedam anexos maliciosos como iscas. Esses arquivos infectados existem para roubar o máximo de informações possível do sistema da vítima.

Quando os usuários clicam na isca e abrem o arquivo compactado, ele baixa ou solta o arquivo infectado na pasta temporária ou de inicialização para garantir persistência. Quando aberto, o anexo do Microsoft 365 ou o arquivo compactado baixa um arquivo no diretório %AppData\Roaming%, executa-se, exclui-se e copia o conteúdo injetado para o arquivo original onde foi executado. Em seguida, realiza uma série de exfiltrações de dados, como registro de teclas digitadas, coleta de dados da área de transferência, capturas de tela, histórico de navegação, cookies e detalhes de configuração de e-mail. Essas informações são enviadas via Telegram para servidores Dynamic DuckDNS de C2.

Declaração de Proteção

Os clientes da Forcepoint estão protegidos contra esta ameaça nas seguintes etapas do ataque:

Etapa 2 (Isco): Anexos maliciosos associados a esses ataques são identificados e bloqueados.
Etapa 3 (Redirecionamento): URLs que baixam cargas adicionais são bloqueados.
Etapa 5 (Arquivo Dropper): Arquivos dropper são adicionados ao banco de dados de malwares da Forcepoint e bloqueados.
Etapa 6 (Comunicação C2): Credenciais C2 são bloqueadas.

IOCs

RTF hash	a7fb35d35eb23fe3b4358e3c843f5982a161534e
Dropped exe	2830f9d5f41bbecd2ae105ed0b9a8d49327c8594
Malicious URL	hxxp://87.120.84[.]39/txt/xXdquUOrM1vD3An.exe hxxp://51.38.247[.]67:8081/_send_.php?L
C2	varders.kozow[.]com:8081 aborters.duckdns[.]org:8081 anotherarmy.dns[.]army:8081 mail.jhxkgroup[.]online

Prashant Kumar
Prashant trabalha como Pesquisador de Segurança na equipe de Conteúdo de Pesquisa de Ameaças X-Labs. Ele dedica seu tempo pesquisando ciberataques baseados na web e em e-mails, com foco específico em pesquisa de URLs, segurança de e-mails e análise de campanhas de malware.
Leia mais artigos de Prashant Kumar