Aquele “resumo de vaga” no Google Forms pode infectar seu dispositivo

Ruslan Mikhalov Chefe de Pesquisa de Ameaças na SOC Prime

Seguir

Aquele “resumo de vaga” no Google Forms pode infectar seu dispositivo

Detection stack

AIDR
Alert
ETL
Query

Relatório de Ameaça
Fluxo de Ataque
Detecções
Simulações

Resumo

Agentes de ameaça estão abusando do Google Forms para distribuir arquivos ZIP maliciosos que, por fim, instalam o PureHVNC RAT. O arquivo inclui um PDF de disfarce junto com um executável malicioso e um par de DLL que executam através de hijacking de DLL. Uma vez lançado, o malware realiza reconhecimento do sistema, rouba dados e estabelece persistência usando mudanças no registro e tarefas agendadas.

Investigação

Pesquisadores documentaram várias variantes de campanha e confirmaram o abuso do msimg32.dll para hijacking de DLL. Eles observaram persistência através da chave de execução do registro Miroupdate, execução em fases que solta um ZIP final no ProgramData, e um carregador Python ofuscado que executa o shellcode Donut. Na fase final, o PureHVNC RAT é injetado no SearchUI.exe.

Mitigação

Os usuários devem evitar baixar arquivos de páginas do Google Forms não confiáveis ou links encurtados. A legitimidade dos formulários e URLs compartilhados, especialmente os entregues através do LinkedIn, deve ser verificada cuidadosamente. As organizações devem impor filtragem de URL e proteção de endpoint para bloquear arquivos, domínios e caminhos de entrega de payloads maliciosos conhecidos.

Resposta

As equipes de detecção devem procurar a presença de msimg32.dll, a chave de execução Miroupdate, tarefas agendadas contendo PowerShell base64 e o comportamento de injeção de processo do PureHVNC. Arquivos ZIP maliciosos devem ser colocados em quarentena, mecanismos de persistência removidos e todos os domínios de infraestrutura associados bloqueados.

"graph TB %% Class definitions classDef technique fill:#e6f5ff %% Node definitions tech_user_exec["Técnica – T1204.001 Execução do Usuário: Link Malicioso Descrição: Engana um usuário para clicar em um link malicioso que resulta na execução de código malicioso."] class tech_user_exec technique tech_dll_hijack["Técnica – T1574.001 Desvio do Fluxo de Execução: DLL Descrição: Carrega uma DLL maliciosa desviando a ordem normal de busca de DLLs ou usando técnicas de sideloading."] class tech_dll_hijack technique tech_user_activity["Técnica – T1497.002 Evasão de Virtualização/Sandbox: Verificações Baseadas em Atividade do Usuário Descrição: Verifica atividade real do usuário (mouse, teclado, display) para determinar se está sendo executado em um sandbox ou ambiente virtual."] class tech_user_activity technique tech_rc_scripts["Técnica – T1037.004 Scripts de Inicialização de Boot ou Logon: Scripts RC Descrição: Modifica ou cria scripts RC (runu2011control) em sistemas do tipo Unix para ganhar persistência na inicialização ou login."] class tech_rc_scripts technique tech_scheduled_task["Técnica – T1053 Tarefa/Trabalho Agendado Descrição: Cria tarefas ou trabalhos agendados que executam código malicioso em um momento posterior ou de forma recorrente."] class tech_scheduled_task technique tech_powershell["Técnica – T1059.001 Interpretador de Comandos e Scripts: PowerShell Descrição: Usa PowerShell para executar comandos, scripts ou payloads no sistema da vítima."] class tech_powershell technique tech_compress["Técnica – T1027.015 Arquivos ou Informações Ofuscadas: Compressão Descrição: Comprime ou empacota arquivos maliciosos para evadir detecção e reduzir tamanho."] class tech_compress technique tech_dynamic_api["Técnica – T1027.007 Arquivos ou Informações Ofuscadas: Resolução de API Dinâmica Descrição: Resolve chamadas de API em tempo de execução para esconder a verdadeira intenção do código da análise estática."] class tech_dynamic_api technique tech_process_injection["Técnica – T1055 Injeção de Processo Descrição: Injeta código malicioso no espaço de endereçamento de outro processo em execução."] class tech_process_injection technique tech_process_hollow["Técnica – T1055.012 Injeção de Processo: Process Hollowing Descrição: Cria um processo legítimo em estado suspenso e substitui sua memória por código malicioso."] class tech_process_hollow technique tech_sysinfo["Técnica – T1082 Descoberta de Informação do Sistema Descrição: Coleta detalhes do sistema operacional, hardware e configuração da vítima."] class tech_sysinfo technique tech_browser_info["Técnica – T1217 Descoberta de Informações do Navegador Descrição: Enumera navegadores instalados, extensões e configurações para facilitar mais roubo de credenciais."] class tech_browser_info technique tech_browser_creds["Técnica – T1555.003 Credenciais de Armazenamentos de Senhas: Credenciais de Navegadores Web Descrição: Extrai nomes de usuários e senhas salvos de navegadores web."] class tech_browser_creds technique tech_file_creds["Técnica – T1552.001 Credenciais Não Seguras: Credenciais em Arquivos Descrição: Procura no sistema de arquivos por material de credenciais armazenado em texto simples ou arquivos mal protegidos."] class tech_file_creds technique tech_private_keys["Técnica – T1552.004 Credenciais Não Seguras: Chaves Privadas Descrição: Localiza arquivos de chaves privadas que podem ser usados para se passar pela vítima."] class tech_private_keys technique tech_web_cookie["Técnica – T1550.004 Uso de Material de Autenticação Alternativo: Cookie de Sessão Web Descrição: Reutiliza cookies de sessão web colhidos para autenticar em serviços web sem precisar de senhas."] class tech_web_cookie technique %% Connections tech_user_exec –>|aciona| tech_dll_hijack tech_dll_hijack –>|realiza| tech_user_activity tech_dll_hijack –>|usa| tech_rc_scripts tech_rc_scripts –>|cria| tech_scheduled_task tech_scheduled_task –>|executa| tech_powershell tech_powershell –>|empacota| tech_compress tech_compress –>|inclui| tech_dynamic_api tech_compress –>|habilita| tech_process_injection tech_process_injection –>|usa| tech_process_hollow tech_process_hollow –>|coleta| tech_sysinfo tech_process_hollow –>|descobre| tech_browser_info tech_process_hollow –>|rouba| tech_browser_creds tech_process_hollow –>|rouba| tech_file_creds tech_process_hollow –>|rouba| tech_private_keys tech_process_hollow –>|alavanca| tech_web_cookie "

Fluxo de Ataque

Narrativa e Comandos de Ataque:
Um operador comprometeu o endpoint e implantou o PureHVNC. A ferramenta lança um processo PowerShell oculto que emite três consultas WMI distintas para coletar informações do sistema:
1. SELECT Caption FROM Win32_OperatingSystem – coleta versão do SO.
2. SELECT * FROM AntiVirusProduct – enumera produtos AV instalados.
3. SELECT * FROM Win32_PnPEntity WHERE (PNPClass = 'Image' OR PNPClass = 'Camera') – descobre câmeras e dispositivos de imagem conectados.
  As consultas são executadas via wmic para se misturar com a atividade administrativa legítima, mas as strings exatas correspondem à seleção regra de detecção.

Script de Teste de Regressão:

# Simulação de consulta WMI do PureHVNC – aciona a regra de detecção
$queries = @(
    "SELECT Caption FROM Win32_OperatingSystem",
    "SELECT * FROM AntiVirusProduct",
    "SELECT * FROM Win32_PnPEntity WHERE (PNPClass = 'Image' OR PNPClass = 'Camera')"
)

foreach ($q in $queries) {
    # Usa wmic para executar a consulta; wmic imprime a saída para stdout
    wmic /namespace:rootcimv2 path __Namespace where "Name='root'" call CreateInstance $q 2>$null
    # Força uma breve pausa para garantir que cada evento seja registrado separadamente
    Start-Sleep -Milliseconds 500
}

Comandos de Limpeza:

# Remova quaisquer arquivos temporários e encerre processos wmic remanescentes
Get-Process wmic -ErrorAction SilentlyContinue | Stop-Process -Force
# Nenhum artefato persistente é criado pelo script acima.

Junte-se à plataforma Detection as Code da SOC Prime para melhorar a visibilidade das ameaças mais relevantes para o seu negócio. Para ajudá-lo a começar e gerar valor imediato, agende uma reunião agora com os especialistas da SOC Prime.

Cadastre-se Gratuitamente