Aeternum Loader: Por Dentro do Binário Malicioso

Pesquisadores realizaram a engenharia reversa do malware Aeternum Loader, revelando seu uso da blockchain Polygon para comunicações C2 através de um endereço de smart contract hardcoded. Os comandos são criptografados com AES e podem ser decifrados usando apenas o endereço do contrato como chave.

O loader emprega ofuscação XOR por string, hashing de API CRC32/DJB2, autoexclusão baseada em NTFS ADS, PPID spoofing para explorer.exe e novas verificações anti-VM, incluindo detecção de MSR térmico/de energia via CPUID e contagem de bits de características SMBIOS BIOS. Notavelmente, a abordagem de C2 via blockchain cria um registro permanente e imutável de todos os comandos do atacante, fornecendo aos defensores um audit trail histórico uma vez que a criptografia seja quebrada.