VENOMOUS#HELPER: Campanha de Phishing Dual-RMM Usa SimpleHelp e ScreenConnect Envasados com JWrapper para Acesso Remoto Silencioso

SOC Prime Team

Seguir

VENOMOUS#HELPER: Campanha de Phishing Dual-RMM Usa SimpleHelp e ScreenConnect Envasados com JWrapper para Acesso Remoto Silencioso

Detection stack

AIDR
Alert
ETL
Query

Relatório de Ameaça
Fluxo de Ataque
Detecções
Simulações

Resumo

Uma campanha de phishing tem usado um site mexicano comprometido para distribuir um executável empacotado com JWrapper que instala as ferramentas legítimas de gerenciamento remoto SimpleHelp e ScreenConnect. Embora ambos os binários sejam assinados e normalmente confiáveis, os atacantes os abusam para obter acesso remoto persistente e silencioso através de modificações nos serviços do Windows e no registro do Modo de Segurança. Desde abril de 2025, a atividade impactou mais de 80 organizações nos Estados Unidos, Europa Ocidental e América Latina. Embora a atribuição permaneça incerta, a campanha parece ser financeiramente motivada.

Investigação

A Securonix conduziu uma análise dinâmica da carga entregue e descobriu uma configuração de acesso remoto de canal duplo baseada no SimpleHelp 5.0.1 e no ConnectWise ScreenConnect. O malware se instala como um serviço do Windows, cria uma entrada no registro SafeBoot para sobreviver a reinicializações no Modo de Segurança e usa laços de polling repetidos para identificar produtos de segurança instalados e determinar se um usuário está presente na máquina. Os investigadores também descobriram que um wmic.exe.bak binário foi usado como parte da cadeia de execução para ajudar a contornar detecções baseadas em nomes.

Mitigação

As equipes de segurança devem monitorar a criação do serviço Remote Access Service do Windows, a entrada de registro associada SafeBoot e o aparecimento de wmic.exe.bak dentro do diretório System32wbem . As defesas de rede devem bloquear o tráfego UDP de saída para 84.200.205.233:5555 e o tráfego TCP para sslzeromail.run.place:8041. Os defensores também devem remover o serviço malicioso e os arquivos relacionados enquanto procuram por utilitários renomeados e outros artefatos ligados à intrusão.

Resposta

Se esta atividade for detectada, isole o sistema afetado imediatamente, pare e remova o serviço malicioso, exclua a entrada de registro SafeBoot e remova o diretório de instalação do JWrapper do host. Os investigadores devem então realizar uma análise forense para determinar se ocorreu movimento lateral e atualizar a lógica de detecção para capturar os cadeias de processos específicos e padrões de comandos observados na campanha. As partes interessadas relevantes devem ser informadas, e uma busca mais ampla por ameaças deve ser considerada para identificar vítimas adicionais.

graph TB %% Definições de Classes classDef action fill:#99ccff classDef tool fill:#cccccc classDef malware fill:#a2d5ab classDef process fill:#ffcc99 classDef service fill:#ffb3b3 classDef c2 fill:#d9b3ff %% Nós action_impersonation[“Ação – T1656 Personificação Falsificação de e-mail da SSA dos EUA para atrair vítimas”] class action_impersonation action action_phishing[“Ação – T1566.001 Phishing Anexo de spearphishing com link para domínios mexicanos comprometidos”] class action_phishing action action_infra[“Ação – T1584.001 Comprometer Infraestrutura Comprometer sites legítimos .com.mx para hospedar a página de destino e a carga útil”] class action_infra action action_execution[“Ação – Execução A vítima executa o statement5648.exe empacotado com JWrapper que extrai a configuração, instala um JRE privado e inicia a carga útil Java”] class action_execution action action_uac[“Ação – T1548.002 Bypass do UAC O prompt do UAC mostra um editor confiável da SimpleHelp permitindo a instalação”] class action_uac action action_service[“Ação – T1543.003 Criar ou Modificar Processo do Sistema Registra o serviço do Windows \”Remote Access Service\””] class action_service action action_safemode[“Ação – T1562.009 Inicialização em Modo de Segurança Adiciona chave de registro em SafeBoot Network para persistência do serviço”] class action_safemode action malware_simplehelp[“Malware – SimpleHelp 5.0.1 (crackeado) Ferramenta de administração remota assinada pela SimpleHelp”] class malware_simplehelp malware malware_screenconnect[“Malware – ConnectWise ScreenConnect (crackeado) Ferramenta de administração remota assinada pela ConnectWise”] class malware_screenconnect malware c2_simplehelp[“C2 – UDP 84.200.205.233:5555 Usado pelo SimpleHelp para beaconing”] class c2_simplehelp c2 c2_screenconnect[“C2 – TCP sslzeromail.run.place:8041 Usado pelo relay do ScreenConnect”] class c2_screenconnect c2 tool_sessionwin[“Ferramenta – session_win.exe Rouba o token do winlogon.exe para gerar processos na sessão do usuário”] class tool_sessionwin tool tool_elevwin[“Ferramenta – elev_win.exe Cria processos com CreateProcessAsUserW usando o token roubado”] class tool_elevwin tool process_netsh[“Processo – netsh wlan show interfaces Executa a cada ~15 s para descobrir a configuração de rede”] class process_netsh process process_wmic[“Processo – wmic.exe.bak query SecurityCenter2 Executa a cada ~67 s para descobrir produtos AV/Firewall”] class process_wmic process action_masquerade[“Ação – T1036.003 Mascaramento Renomeia wmic.exe para wmic.exe.bak para ocultar o utilitário”] class action_masquerade action action_dynamic[“Ação – T1568 Resolução Dinâmica Coleta informações de interface para adaptar os endpoints C2”] class action_dynamic action %% Conexões de Fluxo action_impersonation –>|leva_a| action_phishing action_phishing –>|usa| action_infra action_infra –>|hospeda| action_execution action_execution –>|aciona| action_uac action_uac –>|habilita| action_service action_service –>|adiciona| action_safemode action_safemode –>|suporta| malware_simplehelp malware_simplehelp –>|comunica-se com| c2_simplehelp malware_screenconnect –>|comunica-se com| c2_screenconnect malware_simplehelp –>|instala| tool_sessionwin malware_screenconnect –>|instala| tool_elevwin tool_sessionwin –>|executa| action_masquerade tool_elevwin –>|executa| process_netsh process_netsh –>|alimenta| action_dynamic process_wmic –>|alimenta| action_dynamic action_dynamic –>|informa| c2_screenconnect action_dynamic –>|informa| c2_simplehelp tool_sessionwin –>|executa| action_masquerade process_wmic –>|executa| action_masquerade %% Atribuições de Classes class action_impersonation,action_phishing,action_infra,action_execution,action_uac,action_service,action_safemode,action_masquerade,action_dynamic action class malware_simplehelp,malware_screenconnect malware class c2_simplehelp,c2_screenconnect c2 class tool_sessionwin,tool_elevwin tool class process_netsh,process_wmic process

Fluxo de Ataque

Narrativa & Comandos do Ataque:

O atacante recebe um anexo de phishing (T1566.001) que solta uma carga maliciosa nomeada statement5648.exe no diretório %TEMP% . Para evitar detecção, o arquivo está assinado com um certificado válido (código ofuscado – T1027) e é executado como um serviço Windows (T1543.003) para persistência. Porque o nome do executável corresponde a um dos sufixos da regra, o Sysmon registra um EventID 1 com Imagem terminando em statement5648.exe, o que deve acionar a regra de detecção. O atacante também desativa o antivírus (T1562.009) e tenta bypassar UAC (T1548.002) para ganhar privilégios elevados.

Script de Teste de Regressão:

#------------------------------------------------------------
# Simulação de Campanha de Phishing Dual-RMM – aciona regra Sigma
#------------------------------------------------------------
$payloadPath = "$env:TEMPstatement5648.exe"
$serviceName = "DualRMMHelper"

# 1. Soltar um executável fictício (cópia do notepad.exe) e renomear
Write-Host "[*] Soltando carga disfarçada para $payloadPath"
Copy-Item -Path "$env:SystemRootSystem32notepad.exe" -Destination $payloadPath -Force

# 2. Criar um serviço Windows que roda a carga (persistência)
Write-Host "[*] Instalando serviço $serviceName"
sc.exe create $serviceName binPath= "`"$payloadPath`"" start= auto > $null

# 3. Iniciar o serviço – isso gera evento Sysmon ProcessCreate
Write-Host "[*] Iniciando serviço $serviceName"
sc.exe start $serviceName > $null

# 4. OPCIONAL: Simular bypass de UAC / impersonação de token (placeholder no-op)
#    Em uma execução de red-team real, isso envolveria Invoke-BypassUAC ou similar.
Write-Host "[*] Simulação completa – cheque o SIEM para detecção."
#------------------------------------------------------------

Comandos de Limpeza:

#------------------------------------------------------------
# Limpeza para simulação Dual-RMM
#------------------------------------------------------------
$serviceName = "DualRMMHelper"
$payloadPath = "$env:TEMPstatement5648.exe"

# Parar e deletar o serviço
sc.exe stop $serviceName > $null
sc.exe delete $serviceName > $null

# Remover o executável falso
Remove-Item -Path $payloadPath -Force

Write-Host "[*] Limpeza completa."
#------------------------------------------------------------

Junte-se à plataforma Detection as Code da SOC Prime para melhorar a visibilidade das ameaças mais relevantes para o seu negócio. Para ajudá-lo a começar e gerar valor imediato, agende uma reunião agora com os especialistas da SOC Prime.

Cadastre-se Gratuitamente