Software Conversor Gratuito – Converta Qualquer Sistema de Limpo para Infectado em Segundos
Seguir
Detection stack
- AIDR
- Alert
- ETL
- Query
Resumo
As campanhas de malvertising em sites legítimos estão promovendo utilitários falsos de “conversor” que parecem inofensivos, mas instalam malware de acesso remoto persistente em segundo plano. Uma vez executado, o instalador normalmente deixa componentes de backdoor no %LocalAppData% e cria tarefas agendadas que lançam repetidamente a carga útil, garantindo que o atacante mantenha o acesso entre reinicializações. A operação depende de um conjunto rotativo de domínios semelhantes, binários assinados com código (mas maliciosos) e um fluxo de trabalho de comando e controle baseado em HTTP simples. Os defensores podem priorizar a detecção na criação anômala de tarefas agendadas, execução suspeita a partir de caminhos graváveis pelo usuário e tráfego de saída para a infraestrutura de C2 identificada.
Investigação
Pesquisadores reconstruíram o caminho de infecção de anúncios maliciosos do Google para páginas de destino hospedadas em domínios falsificados, como pokemoninfinitefusion.net, convertyfileapp.com e conmateapp.com, que acabam entregando as cargas finais. Os binários entregues são executáveis .NET assinados com certificados roubados, e estabelecem persistência criando uma tarefa agendada que executa o UpdateRetriever.exe a partir do %LocalAppData%. A telemetria mostrou que o malware contata periodicamente confetly.com para obter atualizações ou instruções. Analistas também validaram artefatos associados ao sistema de arquivos e configuração, incluindo um marcador id.txt e as definições de tarefa agendadas usadas para manter o backdoor ativo.
Mitigação
Habilite e operacionalize o registro para a criação de tarefas agendadas (ID do Evento de Segurança 4698) e a telemetria de modificação do registro (por exemplo, ID do Evento Sysmon 13). Reduza o risco de execução bloqueando ou controlando rigidamente o lançamento de processos a partir do %LocalAppData% usando AppLocker ou WDAC, e alerte sobre tarefas agendadas que apontem para diretórios graváveis pelo usuário. Considere certificados de assinatura de código suspeitos ou recém-observados como de alto risco — revogue ou bloqueie-os onde for possível — e adicione controles de domínio para a infraestrutura maliciosa conhecida. Na camada de rede, implante detecções para atividades HTTP de saída para confetly.com e padrões de URL relacionados, e considere evitar o tráfego direto para a internet a partir de estações de trabalho de usuários, quando viável.
Resposta
Quando uma tarefa agendada suspeita é detectada — ou quando executáveis são observados sendo executados a partir do %LocalAppData% — isole o endpoint e preserve as evidências (XML da tarefa, binários descartados e logs relevantes de proxy/DNS). Bloqueie imediatamente confetly.com e qualquer infraestrutura relacionada para interromper o comando e controle. Remova a tarefa agendada maliciosa, erradique artefatos de carga útil e realize uma remediação completa do endpoint para confirmar que não permaneça persistência secundária. Finalmente, realize uma busca em toda a empresa pelos mesmos indicadores (nomes/caminhos de tarefas, UpdateRetriever.exe, id.txt e os domínios listados) para dimensionar sistemas adicionais impactados.
“graph TB %% Class Definitions classDef technique fill:#c2e0ff classDef operator fill:#ffcc66 %% Nodes u2013 Techniques initial_access[“<b>Technique</b> – <b>T1659 Anúncios Maliciosos</b><br/><b>Descrição</b>: O adversário utiliza anúncios online maliciosos para entregar conteúdo malicioso às vítimas via injeção de conteúdo.”] class initial_access technique user_execution[“<b>Technique</b> – <b>T1204 Execução do Usuário</b><br/><b>Descrição</b>: A vítima clica manualmente no anúncio malicioso e executa a carga útil baixada.”] class user_execution technique dropper[“<b>Technique</b> – <b>T1036.001 Mascaramento: Assinatura de Código Inválida</b><br/><b>Descrição</b>: Um executável de conversor assinado é usado para se mascarar como uma ferramenta legítima, subvertendo controles de confiança.”] class dropper technique subvert_trust[“<b>Technique</b> – <b>T1553 Subverter Controles de Confiança</b><br/><b>Descrição</b>: O binário assinado derrota os mecanismos de segurança que dependem da confiança na assinatura de código.”] class subvert_trust technique powershell[“<b>Technique</b> – <b>T1059.001 PowerShell</b><br/><b>Descrição</b>: Script PowerShell é executado para criar uma tarefa agendada para persistência.”] class powershell technique scheduled_task[“<b>Technique</b> – <b>T1053 Tarefa Agendada</b><br/><b>Descrição</b>: Uma tarefa agendada é criada para executar o executável UpdateRetriever em intervalos regulares.”] class scheduled_task technique persistence[“<b>Technique</b> – <b>T1053 Tarefa Agendada (Persistência)</b><br/><b>Descrição</b>: A tarefa agendada fornece execução de longo prazo do atualizador malicioso.”] class persistence technique c2_https[“<b>Technique</b> – <b>T1071.001 Protocolos Web: Web</b><br/><b>Descrição</b>: O tráfego de comando e controle é enviado através de HTTPS usando protocolos web padrão.”] class c2_https technique compression[“<b>Technique</b> – <b>T1027.015 Arquivo via Utilitário</b><br/><b>Descrição</b>: Cargas úteis são armazenadas dentro de arquivos ZIP para evitar detecção.”] class compression technique %% Operator Node (AND logic) op_and((“AND”)) class op_and operator %% Connections u2013 Flow initial_access u002du002d>|leads_to| user_execution user_execution u002du002d>|delivers| dropper dropper u002du002d>|uses| subvert_trust dropper u002du002d>|stores_payloads_in| compression dropper u002du002d>|executes| powershell powershell u002du002d>|creates| scheduled_task scheduled_task u002du002d>|enables| persistence persistence u002du002d>|communicates_with| c2_https “
Fluxo de Ataque
Detecções
Possível Atividade de Evasão de Defesa Por Uso Suspeito de Wevtutil (via linha de comando)
Ver
Tarefa Agendada Suspeita (via auditoria)
Ver
Tarefa Agendada via Objeto COM (via powershell)
Ver
IOCs (HashSha256) para detectar: Software de Conversor Gratuito – Converta Qualquer Sistema de Limpo para Infectado em Segundos Parte 7
Ver
IOCs (HashSha256) para detectar: Software de Conversor Gratuito – Converta Qualquer Sistema de Limpo para Infectado em Segundos Parte 5
Ver
IOCs (HashSha256) para detectar: Software de Conversor Gratuito – Converta Qualquer Sistema de Limpo para Infectado em Segundos Parte 6
Ver
IOCs (HashSha256) para detectar: Software de Conversor Gratuito – Converta Qualquer Sistema de Limpo para Infectado em Segundos Parte 4
Ver
IOCs (HashSha256) para detectar: Software de Conversor Gratuito – Converta Qualquer Sistema de Limpo para Infectado em Segundos Parte 1
Ver
IOCs (HashSha256) para detectar: Software de Conversor Gratuito – Converta Qualquer Sistema de Limpo para Infectado em Segundos Parte 3
Ver
IOCs (HashSha256) para detectar: Software de Conversor Gratuito – Converta Qualquer Sistema de Limpo para Infectado em Segundos Parte 2
Ver
IOCs (HashSha1) para detectar: Software de Conversor Gratuito – Converta Qualquer Sistema de Limpo para Infectado em Segundos
Ver
Modificação do Registro de Tarefa Agendada para Persistência de Malware [Evento de Registro do Windows]
Ver
Detectar Criação de Tarefa Agendada para Persistência de Malware [Log de Evento de Segurança do Microsoft Windows]
Ver
Detectar Carga Maliciosa do ConvertMate e Criação de Arquivo UUID [Evento de Arquivo do Windows]
Ver
Execução de Simulação
Pré-requisito: O Check de Pré-voo de Telemetria & Base deve ter passado.
Justificativa: Esta seção detalha a execução precisa da técnica do adversário (TTP) projetada para acionar a regra de detecção. Os comandos e a narrativa DEVEM refletir diretamente os TTPs identificados e visam gerar a telemetria exata esperada pela lógica de detecção.
-
Narrativa & Comandos do Ataque:
Um atacante que já obteve acesso ao sistema local deseja manter a persistência entre reinicializações. Eles decidem abusar do backend do registro do Agendador de Tarefas do Windows porque é um método “living-off-the-land” que evita criar novos arquivos executáveis. Usandoreg.exe, eles adicionam uma nova definição de tarefa diretamente sob oTaskCacheTaskshive, apontando para uma carga maliciosa localizada no%LocalAppData%. Esta gravação gera um Evento 13 do Sysmon com umRegistryPathcorrespondendo ao seletor da regra, fazendo com que o alerta dispare. -
Script de Teste de Regressão:
# ------------------------------------------------------------------------- # Script em PowerShell para simular T1547.014 / T1574.014 – Persistência de Tarefa Agendada # ------------------------------------------------------------------------- # Variáveis $taskGuid = [guid]::NewGuid().ToString("B").ToUpper() # e.g. {A1B2C3D4-...} $payload = "$env:LOCALAPPDATAmalwareevil.exe" $regPath = "HKLM:SoftwareMicrosoftWindows NTCurrentVersionScheduleTaskCacheTasks$taskGuid" # Garantir que o diretório de carga útil exista (simulado) New-Item -Path (Split-Path $payload) -ItemType Directory -Force | Out-Null # (Em um ataque real, o binário malicioso seria colocado aqui) # Criar a chave do registro para a tarefa agendada New-Item -Path $regPath -Force | Out-Null # Preencher valores mínimos requeridos (XML da Tarefa seria muito maior; mantemos simples) New-ItemProperty -Path $regPath -Name "Path" -Value $payload -PropertyType String -Force | Out-Null New-ItemProperty -Path $regPath -Name "Id" -Value $taskGuid -PropertyType String -Force | Out-Null New-ItemProperty -Path $regPath -Name "SecurityDescriptor" -Value "O:BAG:SYD:(A;;FA;;;SY)(A;;FA;;;BA)" -PropertyType String -Force | Out-Null Write-Host "[+] Tarefa do registro gravada em $regPath – regra de detecção deve disparar." -
Comandos de Limpeza:
# Remover a entrada de registro de tarefa agendada maliciosa $taskGuid = (Get-ItemProperty -Path "HKLM:SoftwareMicrosoftWindows NTCurrentVersionScheduleTaskCacheTasks*").Id $regPath = "HKLM:SoftwareMicrosoftWindows NTCurrentVersionScheduleTaskCacheTasks$taskGuid" Remove-Item -Path $regPath -Recurse -Force # Opcionalmente remova a carga falsa Remove-Item -Path "$env:LOCALAPPDATAmalware" -Recurse -Force Write-Host "[+] Limpeza concluída."