NANOREMOTE: vírus usa Google Drive para roubar dados e escapar dos antivírus no Windows

Pesquisadores do Elastic Security Labs identificaram uma ameaça avançada batizada de NANOREMOTE, capaz de tomar o controle de computadores com Windows e transferir informações furtadas por meio da API oficial do Google Drive. Ao mascarar a comunicação maliciosa como uso legítimo do serviço de nuvem, o backdoor contorna sistemas de monitoramento corporativo e dificulta a detecção por ferramentas tradicionais de segurança.

Como o NANOREMOTE foi descoberto e caracterizado

A primeira amostra do malware chegou aos laboratórios da Elastic em outubro de 2025, durante análise rotineira de logs suspeitos. Depois de semanas de engenharia reversa, o pesquisador Daniel Stepanic publicou um relatório técnico em 11 de dezembro de 2025 descrevendo toda a operação. No documento, foram detalhadas a arquitetura do código, o método de infecção, a comunicação com servidores de comando e controle (C2) e a integração com o Google Drive. A investigação também demonstrou semelhanças de código com uma família anterior de malware chamada FINALDRAFT, sugerindo desenvolvimento conjunto ou reaproveitamento de componentes.

Estrutura técnica do NANOREMOTE e seus 22 comandos

Escrito em C++ para sistemas Windows de 64 bits, o backdoor não emprega técnicas de ofuscação, o que surpreende pela sofisticação das demais rotinas. Ao ser carregado na memória, o programa disponibiliza 22 comandos para operadores remotos. Entre eles estão a coleta de características do sistema (endereços IP, nome de usuário, versão do sistema operacional e privilégios), a execução de comandos arbitrários, a navegação completa no sistema de arquivos e a capacidade de instalar payloads adicionais. Há ainda funções para pausa, retomada de transferências e autodestruição, recurso que apaga vestígios da presença do vírus quando necessário.

O código traz módulos específicos para registrar cada ação em diretório próprio (“Log”), gerar um identificador único (GUID) por máquina infectada e lidar com falhas inesperadas. Quando ocorre um crash, o malware cria um minidump da memória, prática comum em projetos de software corporativo. Esse ponto evidencia a maturidade da equipe responsável, já que relatórios de falha facilitam melhorias futuras sem perder acesso às máquinas comprometidas.

Uso do Google Drive pelo NANOREMOTE para exfiltração de dados

A estratégia que torna o vírus especialmente perigoso é o emprego da API do Google Drive como canal primário de comando e exfiltração. Cada transferência — seja para enviar documentos sigilosos ao operador, seja para receber instruções — ocorre via upload ou download legítimo, autenticado em OAuth 2.0. Dessa forma, as conexões aparecem criptografadas e indistintas do fluxo normal de funcionários que utilizam o armazenamento em nuvem no dia a dia.

Para manter a persistência, o malware armazena múltiplos pares de Client ID, Client Secret e Refresh Token. Caso precise renovar credenciais, ele pode utilizar a variável de ambiente “NR_GOOGLE_ACCOUNTS” como reserva. Todo o tráfego passa pelos servidores da Google, que criptografam os pacotes de ponta a ponta. Ferramentas de prevenção à perda de dados (DLP) não conseguem inspecionar o conteúdo e firewalls corporativos registram apenas “acesso ao Google Drive”. O resultado é um canal de comunicação clandestino, porém sustentado por serviço amplamente permitido em redes corporativas.

Cadeia de infecção: WMLOADER e a instalação do NANOREMOTE

A contaminação começa com um componente batizado de WMLOADER, disfarçado de executável legítimo da Bitdefender (“BDReinit.exe”), mas portando assinatura digital inválida. Quando a vítima executa esse arquivo, o carregador busca um segundo elemento no mesmo diretório, chamado “wmsetup.log”. O conteúdo é descriptografado em AES-CBC com chave fixa e, a seguir, injetado diretamente na memória. Assim, o NANOREMOTE entra em funcionamento sem nunca tocar o disco com o código real, reduzindo ainda mais a chance de ser interceptado por antivírus.

Uma vez ativo, o backdoor estabelece comunicação com o C2 via HTTP. Antes do envio, os dados são comprimidos em Zlib e criptografados novamente em AES-CBC. O uso de camadas sobrepostas de compressão e criptografia complica a análise de pacotes, mesmo quando profissionais de segurança conseguem capturá-los.

Execução furtiva de programas e bibliotecas reutilizadas

Duas funções entre os 22 comandos existentes são dedicadas a executar programas adicionais sem registro em disco. Para isso, os desenvolvedores recorreram a bibliotecas de código aberto já consolidadas. A primeira é a libPeConv, que facilita o carregamento de executáveis diretamente na memória. A segunda é o Microsoft Detours, conjunto oficial da Microsoft para redirecionamento de chamadas de API. Ao interceptar funções como ExitProcess e FatalExit, o malware impede que falhas em um módulo encerrem o processo inteiro, garantindo resiliência.

Conexões entre NANOREMOTE e o malware FINALDRAFT

A equipe da Elastic encontrou paralelos diretos com a família FINALDRAFT, observada anteriormente em 2025. Ambos os malwares:

• Usam o mesmo algoritmo para gerar identificadores (CoCreateGuid combinado com hash FNV);
• Compartilham rotinas HTTP quase idênticas para contato com o C2;
• São descriptografados por carregadores que procuram o arquivo “wmsetup.log”;
• Empregam a mesma chave AES para decifrar conteúdo.

Durante o estudo, os analistas baixaram do VirusTotal uma amostra de “wmsetup.log” enviada em 3 de outubro de 2025 a partir das Filipinas. Quando processada com o WMLOADER, essa amostra revelou o FINALDRAFT em vez do NANOREMOTE, reforçando a hipótese de que o carregador serve a múltiplos payloads num framework comum de espionagem.

Possíveis alvos e motivação da campanha

O relatório não menciona vítimas nominais, mas a sofisticação técnica, o foco em coleta de dados e a ausência de rotinas de extorsão financeira sugerem objetivos de espionagem. Alvos prováveis incluem organismos governamentais, embaixadas, empresas de defesa, centros de pesquisa tecnológica e infraestrutura crítica. A única referência geográfica concreta é o envio da amostra oriunda das Filipinas, indício de atuação, ainda que não exclusiva, na região Ásia-Pacífico. Além disso, a natureza modular do projeto confirma financiamento elevado, condizente com grupos patrocinados por estado ou consórcios com recursos significativos.

Como se proteger do NANOREMOTE e ameaças semelhantes

Embora o uso do Google Drive complique a interceptação, a Elastic demonstrou que comportamentos anômalos podem ser identificados por soluções que combinem análise de endpoint, monitoramento de nuvem e detecção baseada em comportamento. As principais recomendações práticas são:

• Adotar plataformas de segurança que analisem memória, processos e tráfego conjunto, não apenas assinaturas de antivírus;
• Revisar políticas de uso de serviços em nuvem e registrar padrões típicos de upload e download, de forma a destacar desvios de volume ou horário;
• Realizar varreduras frequentes em estações e servidores em busca de executáveis não assinados e processos residentes incomuns;
• Acompanhar alertas de criação de GUIDs, execuções em memória e uso atípico da API do Google Drive com autenticação de longa duração;
• Treinar usuários para reportar downloads suspeitos e verificar a procedência de instaladores, mesmo quando aparentam pertencer a marcas confiáveis.

O detalhamento técnico divulgado em 11 de dezembro de 2025 segue sendo a referência mais abrangente sobre o NANOREMOTE até o momento, e novos relatórios podem surgir à medida que outras equipes de pesquisa correlacionem campanhas detectadas em campo.