Carregador PE em memória habilita RCE

Pesquisadores divulgaram uma técnica sofisticada que permite a invasores executar código malicioso inteiramente em memória, contornando muitas defesas baseadas em disco de EDRs. O método usa um carregador PE em memória para baixar um executável para um buffer, mapear suas seções, resolver importações e aplicar relocations antes de chamar o ponto de entrada, tudo dentro de um processo confiável já em execução. Isso transforma um programa validado pelo EDR em um vetor para carregar RATs e infostealers sem deixar artefatos no sistema de arquivos.

Leia também
Grupo adota IA em ataques a hotéis brasileiros
NVIDIA corrige falha de alta gravidade no NeMo Curator

O processo de execução em memória segue etapas que imitam o carregador do Windows: parsing dos headers DOS e NT, alocação com VirtualAlloc, cópia das seções para os endereços virtuais corretos, load de DLLs com LoadLibraryA, resolução de APIs com GetProcAddress, aplicação de relocations e ajuste de permissões via VirtualProtect para marcar .text como executável. Ferramentas legítimas do Windows como InternetOpenUrlA e InternetReadFile são usadas para baixar o binário e assim mascarar a atividade maliciosa como tráfego normal.

A exploração é especialmente eficaz contra soluções que confiam em varredura de disco e assinaturas porque o binário nunca é escrito em disco. Observações de red teams e relatos públicos indicam bypasses bem-sucedidos contra produtos populares, o que aumenta o risco de uso em campanhas reais para persistência e exfiltração de credenciais. Detectores baseados em comportamento e inspeção profunda de memória podem identificar anomalias, mas muitas defesas tradicionais permanecem cegas a esse padrão de ataque.

Recomenda-se que equipes de segurança implementem monitoramento de comportamento com foco em alocação e alteração de permissões de memória, habilitem proteção contra execução inapropriada de processos e adotem EDRs que ofereçam análise em tempo real da memória e instrumentação de APIs de carregamento. Políticas de whitelist, segmentação de privilégios e controles de egress também reduzem a superfície de abuso.