Habilidad Maliciosa OpenClaw Distribuye Remcos RAT y GhostLoader

Ruslan Mikhalov Jefe de Investigación de Amenazas en SOC Prime

Seguir

Habilidad Maliciosa OpenClaw Distribuye Remcos RAT y GhostLoader

Detection stack

AIDR
Alert
ETL
Query

Informe de Amenazas
Flujo de Ataque
Detecciones
Simulaciones

Resumen

Los actores de amenazas publicaron una habilidad maliciosa de OpenClaw llamada DeepSeek-Claw que engaña a los agentes de IA o desarrolladores para que descarguen un instalador MSI armado. Una vez ejecutado, el instalador deja un binario firmado de GoToMeeting que carga un DLL malicioso, el cual luego carga el RAT Remcos. Un camino de infección separado entrega una carga útil de Node.js fuertemente ofuscada que instala el ladrón GhostLoader multiplataforma. La campaña destaca cómo los complementos de flujo de trabajo de IA comprometidos pueden ser usados como un vector de cadena de suministro para acceso remoto persistente y robo de datos.

Investigación

Zscaler ThreatLabz siguió toda la cadena de infección desde el archivo markdown de la habilidad maliciosa hasta la descarga del MSI, la carga DLL de G2M.exe, y el cargador en memoria responsable de parchear ETW y AMSI. Los investigadores recuperaron la configuración de Remcos, incluida su dirección de comando y control y mutex, y también identificaron el uso de GhostLoader de npm scripts e instaladores basados en Bash para entornos macOS y Linux. El informe documenta además múltiples técnicas de evasión, incluyendo la ofuscación de API, la des-encriptación basada en TEA y los chequeos de conciencia de sandbox.

Mitigación

Los defensores deben bloquear el acceso al MSI malicioso y URLs relacionadas, monitorear DLLs no firmadas cargadas por procesos legítimos de GoToMeeting, y hacer cumplir una estricta validación del contenido de habilidades de OpenClaw antes de su uso. Las protecciones del endpoint también deben detectar intentos de parcheo de ETW y AMSI y restringir la ejecución de PowerShell or msiexec desde contextos no administrativos. Las organizaciones deben verificar las firmas de código para todos los binarios y aplicar controles de privilegio mínimo a los agentes de IA y las integraciones de complementos.

Respuesta

Si se detecta esta actividad, aísle el endpoint afectado inmediatamente, termine cualquier proceso de Remcos o GhostLoader, y elimine los artefactos DLL y MSI maliciosos del sistema. Recolecte volcados de memoria y preserve la configuración de Remcos para análisis forense, luego restablezca credenciales comprometidas y rote cualquier certificado o secreto afectado. Los equipos de seguridad también deben actualizar los feeds de inteligencia de amenazas con los indicadores identificados y fortalecer los controles de la cadena de suministro en torno al uso de complementos de IA.

"graph TB %% Class definitions classDef technique fill:#cfe2f3 classDef tool fill:#e2efda classDef malware fill:#f9cb9c classDef process fill:#ffd966 %% Technique nodes tech_user_exec_copypaste["Técnica – T1204.004 Ejecución de Usuario: Copiar y Pegar Malicioso Descripción: Engañar a usuarios o agentes de IA para ejecutar un comando PowerShell copiado."] class tech_user_exec_copypaste technique tech_user_exec_link["Técnica – T1204.001 Ejecución de Usuario: Enlace Malicioso Descripción: La víctima hace clic en un enlace de descarga malicioso que inicia la misma cadena."] class tech_user_exec_link technique tech_msiexec["Técnica – T1218.007 Ejecución por Proxy de Binario del Sistema: Msiexec Descripción: Uso de msiexec para descargar e instalar silenciosamente un paquete MSI remoto."] class tech_msiexec technique tech_dll_hijack["Técnica – T1574.001 Secuestro de Flujo de Ejecución: Carga de DLL Maliciosa Descripción: Cargar una DLL maliciosa colocándola junto a un ejecutable legítimo."] class tech_dll_hijack technique tech_active_scanning["Técnica – T1595 Escaneo Activo Descripción: Parchear EtwEventWrite y AmsiScanBuffer para evadir la telemetría y los análisis antiu2011malware."] class tech_active_scanning technique tech_virt_user_check["Técnica – T1497.002 Evasión de Virtualización: Chequeos de Actividad del Usuario Descripción: Detecta actividad impulsada por el usuario para determinar si está corriendo en un sandbox."] class tech_virt_user_check technique tech_virt_time_check["Técnica – T1497.003 Evasión de Virtualización: Chequeos de Tiempo Descripción: Introduce latencia y demoras basadas en tiempo para frustrar el análisis."] class tech_virt_time_check technique tech_obfusc_embedded["Técnica – T1027.009 Archivos Ofuscados o Información: Cargas Encriptadas Descripción: Carga final del RAT encriptada con TEAu2011CBC y desencriptada solo en memoria."] class tech_obfusc_embedded technique tech_keylogging["Técnica – T1056.001 Captura de Entrada: Keylogging Descripción: Captura pulsaciones de teclas del sistema comprometido."] class tech_keylogging technique tech_clipboard["Técnica – T1115 Datos del Portapapeles Descripción: Lee los contenidos del portapapeles para exfiltración."] class tech_clipboard technique tech_steal_cookie["Técnica – T1539 Robo de Cookie de Sesión Web Descripción: Extrae cookies de navegador activas para eludir MFA."] class tech_steal_cookie technique tech_alt_auth["Técnica – T1550.004 Uso de Material de Autenticación Alternativo: Cookie de Sesión Web Descripción: Reutiliza cookies recolectadas como tokens de autenticación válidos."] class tech_alt_auth technique tech_forge_cookie["Técnica – T1606.001 Forja de Credenciales Web: Cookies Web Descripción: Crea credenciales web falsas basadas en cookies robadas."] class tech_forge_cookie technique tech_private_keys["Técnica – T1552.004 Credenciales de Almacenamiento de Contraseña: Claves Privadas Descripción: Recolecta claves privadas SSH del sistema de archivos."] class tech_private_keys technique tech_cred_files["Técnica – T1552.001 Credenciales en Archivos Descripción: Busca archivos que contienen credenciales en texto plano."] class tech_cred_files technique tech_browser_creds["Técnica – T1555.003 Credenciales de Navegadores Web Descripción: Vacía contraseñas guardadas en navegadores instalados."] class tech_browser_creds technique tech_code_repo["Técnica – T1213.003 Datos de Repositorios de Información: Repositorios de Código Descripción: Recolecta carteras de criptomonedas y tokens de API de archivos de código fuente."] class tech_code_repo technique tech_trusted_dev_util["Técnica – T1127 Ejecución por Proxy de Utilidades de Desarrolladores Confiables Descripción: Ejecuta carga maliciosa a través de scripts de ciclo de vida de npm y Node.js en macOS/Linux."] class tech_trusted_dev_util technique tech_input_injection["Técnica – T1674 Inyección de Entrada Descripción: Markdown en la habilidad inyecta comandos que los agentes de IA parsean y ejecutan."] class tech_input_injection technique %% Tool / Malware / Process nodes process_powershell["Proceso – Ejecución de comando PowerShell por usuario que copia y pega."] class process_powershell process tool_msiexec["Herramienta – Msiexec Propósito: Instalación silenciosa del MSI malicioso."] class tool_msiexec tool tool_g2m_exe["Herramienta – Ejecutable de GoToMeeting (binario legítimo y firmado)."] class tool_g2m_exe tool tool_g2m_dll["Herramienta – g2m.dll malicioso cargado por carga lateral."] class tool_g2m_dll tool malware_remcos["Malware – Remcos RAT Capacidades: Acceso remoto, keylogging, exfiltración de datos."] class malware_remcos malware tool_npm["Herramienta – scripts de ciclo de vida npm"] class tool_npm tool tool_nodejs["Herramienta – Entorno de ejecución Node.js"] class tool_nodejs tool malware_ghostloader["Malware – GhostLoader Objetivo: macOS/Linux"] class malware_ghostloader malware %% Connections u2013 Main execution path tech_user_exec_copypaste –>|desencadena| process_powershell process_powershell –>|utiliza| tech_msiexec tech_msiexec –>|ejecuta| tool_msiexec tool_msiexec –>|instala MSI que deja caer| tool_g2m_exe tool_msiexec –>|instala MSI que deja caer| tool_g2m_dll tool_g2m_exe –>|facilita| tech_dll_hijack tool_g2m_dll –>|cargado por| tech_dll_hijack tech_dll_hijack –>|lleva a| tech_active_scanning tech_active_scanning –>|combinado con| tech_virt_user_check tech_active_scanning –>|combinado con| tech_virt_time_check tech_virt_user_check –>|habilita| tech_virt_time_check tech_dll_hijack –>|entrega| tech_obfusc_embedded tech_obfusc_embedded –>|desencripta a| malware_remcos malware_remcos –>|realiza| tech_keylogging malware_remcos –>|realiza| tech_clipboard malware_remcos –>|exfiltra| tech_steal_cookie tech_steal_cookie –>|habilita| tech_alt_auth tech_alt_auth –>|habilita| tech_forge_cookie malware_remcos –>|recolecta| tech_private_keys malware_remcos –>|recolecta| tech_cred_files malware_remcos –>|recolecta| tech_browser_creds malware_remcos –>|recolecta de| tech_code_repo %% Alternative delivery path tool_npm –>|ejecuta| tool_nodejs tool_nodejs –>|deja caer| malware_ghostloader malware_ghostloader –>|utiliza| tech_trusted_dev_util %% Input injection path tech_input_injection –>|inicia| tech_user_exec_copypaste %% Malicious link path tech_user_exec_link –>|desencadena| process_powershell "

Flujo de Ataque

Narrativa de Ataque y Comandos:
1. Preparación: El atacante obtiene una carga útil de DLL maliciosa (p. ej., un RAT) y la renombra g2m.dll para imitar una biblioteca legítima.
2. Ubicación: La DLL se copia en el mismo directorio que el binario legítimo de GoToMeeting (C:Program FilesGoToMeeting). Porque Windows sigue el orden de búsqueda de DLL (directorio de la aplicación primero), G2M.exe cargará g2m.dll en lugar de la biblioteca esperada.
3. Ejecución: El atacante inicia G2M.exe. Durante la creación del proceso, Sysmon registra Imagen = *G2M.exe. Poco después, Sysmon registra ImagenCargada = *g2m.dll.
Este patrón exacto satisface la condición de la regla Sigma (selección1 y selección2), causando una alerta.

Guion de Prueba de Regresión: (PowerShell – autónomo)

# -------------------------------------------------
# Guion de regresión para carga lateral de DLL vía GoToMeeting
# -------------------------------------------------
$g2mPath = "C:Program FilesGoToMeeting"
$exe    = Join-Path $g2mPath "G2M.exe"
$malDll = Join-Path $g2mPath "g2m.dll"

# 1. Verificar que el ejecutable legítimo existe
if (-not (Test-Path $exe)) {
    Write-Error "G2M.exe no encontrado en $exe. Instale GoToMeeting primero."
    exit 1
}

# 2. Desplegar un DLL marcador benigno (simulando la carga útil maliciosa)
#    Aquí copiamos cualquier DLL del sistema existente solo para tener un archivo con el nombre correcto.
$sourceDll = "$env:SystemRootSystem32kernel32.dll"
Copy-Item -Path $sourceDll -Destination $malDll -Force

Write-Host "[+] Colocado DLL malicioso como $malDll"

# 3. Iniciar el binario firmado – esto desencadena la carga lateral
Write-Host "[+] Iniciando G2M.exe para desencadenar carga de DLL..."
$proc = Start-Process -FilePath $exe -PassThru

# 4. Esperar un corto periodo para que el evento ImageLoaded se registre
Start-Sleep -Seconds 5

# 5. Limpiar – terminar el proceso y remover el DLL
if ($proc.HasExited -eq $false) {
    Stop-Process -Id $proc.Id -Force
    Write-Host "[+] Terminado G2M.exe (PID $($proc.Id))"
}

Remove-Item -Path $malDll -Force
Write-Host "[+] Limpiado DLL malicioso"
# -------------------------------------------------

Comandos de Limpieza: (Si el atacante solo quiere remover los artefactos)

# Remover el DLL malicioso si aún existe
$dllPath = "C:Program FilesGoToMeetingg2m.dll"
if (Test-Path $dllPath) {
    Remove-Item -Path $dllPath -Force
    Write-Host "Removido $dllPath"
}

# Opcionalmente matar cualquier proceso G2M.exe que quede
Get-Process -Name "G2M" -ErrorAction SilentlyContinue |
    Stop-Process -Force
Write-Host "Eliminado cualquier proceso G2M.exe restante"

Únete a la plataforma Detection as Code de SOC Prime para mejorar la visibilidad de las amenazas más relevantes para tu negocio. Para ayudarte a comenzar y obtener valor inmediato, programa una reunión ahora con los expertos de SOC Prime.

Únete gratis