SOC Prime Bias: Médio

10 Abr 2026 16:43
newspaper icon Malwarebytes

Site Falso de Suporte Windows Distribui Malware de Roubo de Senhas

Author Photo
SOC Prime Team linkedin icon Seguir
Site Falso de Suporte Windows Distribui Malware de Roubo de Senhas
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query


Resumo

Um site de typosquatting que se passa por Suporte da Microsoft está distribuindo uma falsa atualização do Windows em formato MSI. Uma vez instalado, o MSI implanta um aplicativo baseado em Electron que aciona um motor inicial VBS, lança um interpretador Python renomeado e carrega módulos de roubo de credenciais. Os dados roubados são enviados através do Render, Cloudflare Workers e GoFile, enquanto a persistência é estabelecida por um valor de registro Run e um atalho no Startup. A atividade é direcionada a usuários francófonos.

Investigação

Pesquisadores obtiveram o WindowsUpdate 1.0.0.msi e confirmaram que ele solta um wrapper Electron (WindowsUpdate.exe) além de um lançador VBS (AppLauncher.vbs). O processo Electron então gera um runtime Python oculto (_winhost.exe), que importa bibliotecas comuns de roubo de informações para coletar credenciais do navegador, tokens do Discord e dados de pagamento. A telemetria de rede mostra um perfil inicial do host para www.myexternalip.com e ip-api.com, seguido por tráfego C2 para datawebsync-lvmv.onrender.com e sync-service.system-telemetry.workers.dev, com exfiltração observada para store8.gofile.io. A persistência é estabelecida criando um valor SecurityHealth em HKCUSOFTWAREMicrosoftWindowsCurrentVersionRun e colocando Spotify.lnk na pasta de Inicialização do usuário.

Mitigação

Remova o valor SecurityHealth de Run e exclua o Spotify.lnk da pasta de Inicialização do usuário. Exclua o diretório WindowsUpdate em AppDataLocalPrograms e remova a pasta temporária WinGettools. Redefina senhas armazenadas, ative MFA/2FA e execute uma varredura completa usando proteções anti-malware atualizadas.

Resposta

Se alertas forem acionados sobre o MSI suspeito, execução do VBS ou criação da chave Run, isole o host, capture dados voláteis e realize uma triagem forense dos caminhos relevantes do AppData. Bloqueie os domínios C2 identificados e rastreie o tráfego para os serviços de reconhecimento listados. Remova artefatos de persistência e reforce os fluxos de trabalho de atualização segura para evitar execução repetida.

graph TB classDef action fill:#99ccff classDef process fill:#ffcc99 classDef persistence fill:#c2f0c2 classDef collection fill:#ffd580 classDef credential fill:#ffb3ba classDef defense fill:#d9d9d9 classDef c2 fill:#ffeb99 classDef exfil fill:#c2c2f0 action_user_click[“<b>Ação</b> – phishing: utilizador clica em link malicioso”] class action_user_click action process_msiexec[“<b>Processo</b> – Msiexec executa MSI malicioso”] class process_msiexec process process_vbs[“<b>Processo</b> – VBScript executa script malicioso”] class process_vbs process process_electron[“<b>Processo</b> – Electron mascarado como app legítima”] class process_electron process process_python[“<b>Processo</b> – Python renomeado _winhost.exe”] class process_python process persistence_registry[“<b>Persistência</b> – Run keys do Registro”] class persistence_registry persistence persistence_shortcut[“<b>Persistência</b> – atalho para autoexecução”] class persistence_shortcut persistence collection_ip[“<b>Recolha</b> – IP externo”] class collection_ip collection credential_browser[“<b>Credenciais</b> – passwords do navegador”] class credential_browser credential credential_discord[“<b>Credenciais</b> – tokens Discord”] class credential_discord credential defense_terminate[“<b>Evasão</b> – termina processos de segurança”] class defense_terminate defense defense_obfuscation[“<b>Evasão</b> – payload JavaScript ofuscado”] class defense_obfuscation defense c2_communicate[“<b>C2</b> – comunicação HTTP”] class c2_communicate c2 exfil_cloud[“<b>Exfiltração</b> – upload para cloud”] class exfil_cloud exfil action_user_click –> process_msiexec process_msiexec –> process_vbs process_vbs –> process_electron process_electron –> process_python process_python –> persistence_registry process_python –> persistence_shortcut process_python –> collection_ip process_python –> credential_browser process_python –> credential_discord process_python –> defense_terminate process_python –> defense_obfuscation defense_obfuscation –> c2_communicate c2_communicate –> exfil_cloud

Fluxo de Ataque

Execução de Simulação

Pré-requisito: O Check de Pré-voo de Telemetria e Linha de Base deve ter sido aprovado.

Racional: Esta seção detalha a execução precisa da técnica do adversário (TTP) destinada a acionar a regra de detecção. Os comandos e a narrativa DEVEM refletir diretamente os TTPs identificados e visam gerar a telemetria exata esperada pela lógica de detecção.

  • Narrativa e Comandos do Ataque:
    Um adversário obteve uma posição no workstation do usuário e deseja manter a persistência durante as reinicializações evitando inspeção casual. Eles executam um payload malicioso nomeado WindowsUpdate.exe na pasta AppData do usuário, em seguida criam uma chave de Run nomeada SecurityHealth que aponta para este payload, imitando deliberadamente o serviço legítimo de “Segurança da Saúde da Windows”. Porque a regra monitora exatamente este caminho de chave, a atividade deve ser sinalizada.

    powershell
# 1. Cole um payload malicioso (simulado com um arquivo de texto inofensivo para teste)
$payloadPath = "$env:APPDATAMicrosoftWindowsUpdateWindowsUpdate.exe"
New-Item -ItemType Directory -Path (Split-Path $payloadPath) -Force | Out-Null
Set-Content -Path $payloadPath -Value "Este é um executável malicioso simulado para testes." -Encoding ASCII

# 2. Crie a chave Run maliciosa que se disfarça como SecurityHealth
$runKey = 'HKCU:SOFTWAREMicrosoftWindowsCurrentVersionRun'
New-ItemProperty -Path $runKey -Name 'SecurityHealth' -Value $payloadPath -PropertyType String -Force

  • Script de Teste de Regressão:

    powershell
# -------------------------------------------------
# Teste de Regressão – Mascaramento de Persistência no Registro
# -------------------------------------------------
# Propósito: Reproduzir a telemetria exata que a regra Sigma espera.
# Funciona no Windows 10/11 com privilégios de administrador.

# Definir localização do payload
$payload = "$env:APPDATAMicrosoftWindowsUpdateWindowsUpdate.exe"

# Garantir que o diretório exista
if (-not (Test-Path (Split-Path $payload))) {
    New-Item -ItemType Directory -Path (Split-Path $payload) -Force | Out-Null
}

# Criar um executável falso (em um teste real este seria o binário malicioso)
Set-Content -Path $payload -Value "MALICIOUS_BINARY_PLACEHOLDER" -Encoding ASCII

# Registrar a chave Run com um nome mascarado
$runKeyPath = 'HKCU:SOFTWAREMicrosoftWindowsCurrentVersionRun'
New-ItemProperty -Path $runKeyPath -Name 'SecurityHealth' -Value $payload -PropertyType String -Force

Write-Host "Chave maliciosa de Run criada. Espere alerta de detecção em breve."
# -------------------------------------------------

  • Comandos de Limpeza:

    powershell
# Remova a chave de Run maliciosa
Remove-ItemProperty -Path 'HKCU:SOFTWAREMicrosoftWindowsCurrentVersionRun' -Name 'SecurityHealth' -ErrorAction SilentlyContinue

# Exclua o arquivo de payload simulado e sua pasta
$payloadDir = Split-Path "$env:APPDATAMicrosoftWindowsUpdateWindowsUpdate.exe"
Remove-Item -Path $payloadDir -Recurse -Force -ErrorAction SilentlyContinue

Write-Host "Limpeza concluída."

Junte-se à plataforma Detection as Code da SOC Prime para melhorar a visibilidade das ameaças mais relevantes para o seu negócio. Para ajudá-lo a começar e gerar valor imediato, agende uma reunião agora com os especialistas da SOC Prime.

Cadastre-se Gratuitamente