Os cibercriminosos adotaram rapidamente uma nova técnica de evasão após a recente repressão da Microsoft a anexos de e-mail maliciosos. Poucas semanas depois que o Outlook começou a bloquear arquivos SVG (Scalable Vector Graphics), os invasores agora estão escondendo malware dentro dos dados de pixel das imagens Portable Network Graphics (PNG), um método conhecido como esteganografia.
Os pesquisadores de segurança da Huntress identificaram a mudança como parte de uma campanha mais ampla “ClickFix”, que usa engenharia social para contornar as proteções do navegador. Ao incorporar código criptografado em canais de cores específicos de imagens aparentemente inofensivas, os agentes de ameaças podem escapar de ferramentas de detecção padrão que verificam ameaças baseadas em scripts.
Apesar da “Operação Endgame”, uma ação coordenada de aplicação da lei visando a infraestrutura de botnet no início deste mês, a campanha permanece altamente ativa. Os domínios ativos que hospedam as novas iscas baseadas em PNG continuam a distribuir o infostealer Rhadamanthys, sugerindo a resiliência do grupo contra os esforços de remoção. Mudança de esteganografia
Os invasores estão abandonando ou complementando scripts SVG baseados em XML em favor da esteganografia PNG baseada em pixels. Essa mudança tática está diretamente relacionada à decisão de outubro da Microsoft de bloquear imagens SVG in-line no Outlook para combater o phishing.
Ao contrário dos SVGs, que dependem de scripts baseados em texto facilmente sinalizados por filtros, o novo método oculta códigos maliciosos dentro dos dados visuais da própria imagem.
Empregando um algoritmo personalizado, o carregador reaproveita estruturas de dados de imagem padrão para ocultar sua carga útil. Descrevendo a mecânica do novo sistema de entrega de carga útil, Ben Folland e Anna Pham, pesquisadores da Huntress, explicam que “o código malicioso é codificado diretamente nos dados de pixel das imagens PNG, contando com canais de cores específicos para reconstruir e descriptografar a carga útil”. a carga útil é descriptografada na memória, ignorando mecanismos de detecção baseados em disco. Esses caminhos de execução somente de memória são particularmente eficazes contra sistemas Endpoint Detection and Response (EDR), que monitoram principalmente gravações de arquivos no disco.
Ao manter o código malicioso efêmero e volátil, os invasores reduzem significativamente a janela para captura forense. Destacando os desafios forenses impostos por essa técnica, os pesquisadores da Huntress observam que “uma descoberta notável durante a análise foi o uso de esteganografia pela campanha para ocultar os estágios finais do malware em uma imagem”. técnica apelidada de “ClickFix”, o ataque imita um erro legítimo do Windows ou uma tela de atualização. As vítimas são apresentadas a uma interface falsa do “Windows Update” que parece travar ou falhar. Para “corrigir” o problema, os usuários são instruídos a abrir a caixa de diálogo Executar do Windows (Win+R) e colar um comando.
Ignorando totalmente as explorações técnicas, esta técnica aproveita uma brecha de baixa tecnologia no comportamento do usuário. Ressaltando a baixa barreira de entrada para essa exploração, os pesquisadores da Huntress destacam a simplicidade dessa abordagem.
O JavaScript incorporado na página de isca preenche automaticamente a área de transferência com o comando malicioso. Essas táticas contornam os controles de segurança do navegador, como o SmartScreen, que normalmente sinaliza downloads maliciosos, mas não a execução manual de comandos.
Para mitigar esse vetor específico, os administradores podem desativar a caixa Executar por meio da modificação do registro usando o seguinte comando:
reg add”HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer”/v NoRun/t REG_DWORD/d 1/f
A dependência da entrada manual do usuário marca isso como uma exploração “centrada no ser humano” em vez de uma vulnerabilidade técnica no Windows.
Detalhamento técnico: dentro do carregador
Iniciando a infecção, um O comando `mshta.exe` é executado através da caixa Executar. Este comando recupera um arquivo HTA remoto, que então executa um script do PowerShell. Após a execução, o script descriptografa e carrega um assembly.NET diretamente na memória. A análise técnica da Huntress detalha o processo de carregamento subsequente:
“O assembly.NET de 3º estágio atua como um carregador para o 4º estágio, que é armazenado como shellcode usando esteganografia dentro de um arquivo PNG criptografado incorporado.”
“O código C# para facilitar a injeção de shellcode também é armazenado criptografado dentro do próprio assembly.NET e é compilado em outro assembly.NET, que é carregado reflexivamente em tempo de execução.”
Donut, um ferramenta de geração de shellcode, executa a carga final (Rhadamanthys ou LummaC2).
A análise revela o uso de código “trampolim” com milhares de chamadas de função vazias para frustrar os esforços de engenharia reversa. O carregamento reflexivo garante que o malware opere quase inteiramente na memória, deixando rastros forenses mínimos no disco.
Resiliência contra a ‘Operação Endgame’
Apesar das remoções de alto perfil da Operation Endgame em meados de novembro, a campanha permanece ativa. Os pesquisadores da Huntress confirmaram que vários domínios que hospedam a isca do Windows Update ainda estão operacionais.
Apesar das remoções coordenadas, os atores da ameaça mantiveram uma posição funcional. Confirmando a sobrevivência da infraestrutura, Ben Folland e Anna Pham observam que “a partir de 19 de novembro, vários domínios ativos… continuam a hospedar a página Windows Update Lure associada à campanha Rhadamanthys”. Aumento de 500% nos ataques ClickFix no quarto trimestre de 2025, sugerindo que a tática está ganhando popularidade entre os cibercriminosos. A descentralização permite que a infraestrutura da botnet resista às tentativas de remoção centralizadas.
Tal persistência mostra as limitações das ações de aplicação da lei contra redes modernas e distribuídas de malware. A rápida rotação, de SVGs para PNGs e de um servidor C2 para outro, demonstra alta agilidade operacional.
