Uma nova campanha de malware identificada como VOID#GEIST está utilizando uma cadeia de infecção em múltiplos estágios para distribuir diferentes trojans de acesso remoto (RATs), incluindo XWorm, AsyncRAT e Xeno RAT. A operação foi analisada pela equipe da Securonix, que revelou uma estrutura de ataque altamente modular e focada em evasão de detecção.

A campanha se destaca pelo uso de scripts batch ofuscados, PowerShell e execução fileless, combinados com um ambiente Python legítimo incorporado ao malware. Em vez de distribuir executáveis tradicionais, os invasores utilizam um pipeline composto por múltiplos componentes que atuam em sequência, permitindo a execução de código malicioso diretamente na memória do sistema comprometido.

Arquitetura modular dificulta detecção

O processo de infecção começa com um script batch distribuído por e-mails de phishing, geralmente hospedado em domínios temporários do serviço TryCloudflare. Quando executado, esse script inicia uma cadeia de ações que inclui o download de componentes adicionais e a execução de código malicioso em memória.

O malware utiliza uma técnica conhecida como Early Bird Asynchronous Procedure Call (APC) Injection para injetar shellcodes criptografados em processos legítimos do Windows, especialmente o explorer.exe. Esse método permite que o código malicioso seja executado sem gravar arquivos tradicionais no disco, reduzindo significativamente as chances de detecção por ferramentas de segurança baseadas em assinatura.

Esse modelo de execução fileless também dificulta investigações forenses, pois grande parte da atividade ocorre apenas na memória do sistema comprometido.

Documento falso distrai a vítima durante a infecção

Uma das etapas iniciais do ataque envolve a exibição de um PDF falso contendo documentos financeiros ou faturas. O arquivo é aberto em tela cheia no navegador, geralmente no Google Chrome, servindo como distração enquanto o malware executa comandos em segundo plano.

Enquanto a vítima visualiza o documento, comandos em PowerShell são executados com parâmetros ocultos para continuar o processo de infecção sem exibir janelas no sistema.

Persistência discreta no sistema

Para manter o acesso ao sistema comprometido, o malware adiciona um script adicional ao diretório de inicialização do Windows do usuário. Dessa forma, o código malicioso é executado automaticamente sempre que a vítima faz login no computador.

Diferentemente de outros malwares que alteram registros do sistema, criam serviços ou tarefas agendadas, essa técnica utiliza apenas mecanismos padrão de inicialização do usuário, evitando alertas de elevação de privilégio e reduzindo o risco de detecção.

Python legítimo é usado para carregar os RATs

Na etapa seguinte do ataque, o malware baixa arquivos compactados contendo diversos componentes maliciosos, incluindo:

• runn.py – script Python responsável por descriptografar e injetar os payloads

• new.bin – shellcode criptografado do XWorm

• xn.bin – shellcode do Xeno RAT

• pul.bin – shellcode do AsyncRAT

• Arquivos JSON com chaves de criptografia utilizadas no processo

Para garantir que o malware funcione mesmo em sistemas sem Python instalado, os invasores também baixam um runtime Python legítimo diretamente do site oficial python.org, transformando o malware em um ambiente de execução completo e portátil.

Esse runtime é então utilizado para executar o script runn.py, responsável por descriptografar os payloads e carregá-los diretamente na memória.

Execução sequencial de múltiplos malwares

Após a preparação do ambiente, o malware passa a executar os RATs de forma sequencial:

• Primeiro, o script Python injeta o XWorm no processo explorer.exe.

• Em seguida, o malware utiliza um binário legítimo da Microsoft chamado AppInstallerPythonRedirector.exe para iniciar o Xeno RAT.

• Por fim, o loader executa o AsyncRAT, utilizando o mesmo método de injeção.

Ao final da cadeia de infecção, o malware envia um beacon HTTP para o servidor de comando e controle (C2) hospedado em infraestrutura TryCloudflare, confirmando aos hackers que o sistema foi comprometido.

Arquitetura modular aumenta flexibilidade dos ataques

Segundo a análise, a campanha VOID#GEIST demonstra uma tendência crescente entre hackers: substituir malwares monolíticos por arquiteturas modulares distribuídas em múltiplas etapas.

Esse modelo permite que os invasores atualizem ou substituam componentes individualmente, aumentando a resiliência da operação e dificultando a detecção.

Um indicador comportamental importante identificado pelos pesquisadores é a injeção repetida de código no processo explorer.exe em intervalos curtos, o que pode servir como sinal de alerta para ferramentas modernas de defesa.