Malware brasileiro esconde payload em banco de dados Microsoft SQL

Malware brasileiro que visa roubar senhas de bancos carrega o payload  a partir de uma  base de dados Microsoft SQL Server, em vez de carregar uma URL diretamente.

Código VB.Net que mostra a consulta SQL que faz o download do payload

O malware é distribuído, em geral, por anexos de email ou por links em emails que redirecionam para executáveis maliciosos no Dropbox ou Google Drive.

Estrutura de uma tabela com informações de sessão de máquinas infectadas

O vírus pode capturar informações da tela e do teclado da máquina infectada, bem como informações de versão de sistema operacional, navegador e plugins instalados, podendo, inclusive, desabilitar o plugins GBuster, muito utilizado pelos bancos brasileiros para garantir a segurança dos usuários.

Fonte: https://blogs.mcafee.com/mcafee-labs/brazilian-banking-malware-hides-in-sql-database