La Skill Malicious OpenClaw Distribuisce Remcos RAT e GhostLoader

Ruslan Mikhalov Capo della Ricerca sulle Minacce presso SOC Prime

Segui

La Skill Malicious OpenClaw Distribuisce Remcos RAT e GhostLoader

Detection stack

AIDR
Alert
ETL
Query

Rapporto
Flusso di Attacco
Rilevamenti
Simulazioni

Sommario

Gli attori delle minacce hanno pubblicato una skill OpenClaw dannosa chiamata DeepSeek-Claw che inganna agenti AI o sviluppatori a scaricare un installer MSI armato. Una volta eseguito, l’installer rilascia un binario GoToMeeting firmato che carica un DLL dannoso, che poi carica Remcos RAT. Un percorso di infezione separato consegna un payload Node.js pesantemente offuscato che installa il ladro GhostLoader cross-platform. La campagna evidenzia come i plugin compromessi del flusso di lavoro AI possano essere utilizzati come vettore della catena di fornitura per accesso remoto persistente e furto di dati.

Indagine

Zscaler ThreatLabz ha seguito l’intera catena dell’infezione dal file markdown della skill dannosa al download MSI, il sideloading del DLL di G2M.exe, e il loader in memoria responsabile della patching di ETW e AMSI. I ricercatori hanno recuperato la configurazione di Remcos, inclusi il suo indirizzo di comando e controllo e il mutex, e hanno anche identificato l’uso di GhostLoader di npm script e installer basati su Bash per ambienti macOS e Linux. Il rapporto documenta ulteriormente molteplici tecniche di elusione, tra cui l’offuscamento API, la decrittazione basata su TEA, e controlli di consapevolezza del sandbox.

Mitigazione

I difensori dovrebbero bloccare l’accesso all’MSI dannoso e agli URL correlati, monitorare i DLL non firmati caricati da processi legittimi di GoToMeeting e applicare una rigorosa convalida del contenuto della skill OpenClaw prima dell’uso. Le protezioni degli endpoint dovrebbero anche rilevare tentativi di patch di ETW e AMSI e limitare l’esecuzione di PowerShell or msiexec da contesti non amministrativi. Le organizzazioni dovrebbero verificare le firme del codice per tutti i binari e applicare controlli di privilegio minimo alle integrazioni di agenti AI e plugin.

Risposta

Se viene rilevata questa attività, isolare immediatamente l’endpoint interessato, terminare eventuali processi Remcos o GhostLoader e rimuovere gli artefatti DLL e MSI dannosi dal sistema. Raccogliere dump di memoria e preservare la configurazione di Remcos per un’analisi forense, quindi reimpostare le credenziali compromesse e ruotare eventuali certificati o segreti interessati. I team di sicurezza dovrebbero anche aggiornare i feed di intelligence sulle minacce con gli indicatori identificati e rafforzare i controlli della catena di fornitura intorno all’uso dei plugin AI.

"graph TB %% Class definitions classDef technique fill:#cfe2f3 classDef tool fill:#e2efda classDef malware fill:#f9cb9c classDef process fill:#ffd966 %% Technique nodes tech_user_exec_copypaste["Tecnica – T1204.004 Esecuzione Utente: Copia e Incolla Dannoso Descrizione: Ingannare gli utenti o agenti AI ad eseguire un comando PowerShell copiato e incollato."] class tech_user_exec_copypaste technique tech_user_exec_link["Tecnica – T1204.001 Esecuzione Utente: Link Dannoso Descrizione: La vittima clicca su un link di download dannoso che inizia la stessa catena."] class tech_user_exec_link technique tech_msiexec["Tecnica – T1218.007 Proxy di Esecuzione di Sistema Binario: Msiexec Descrizione: Uso di msiexec per scaricare e installare silenziosamente un pacchetto MSI remoto."] class tech_msiexec technique tech_dll_hijack["Tecnica – T1574.001 Dirottamento del Flusso di Esecuzione: Caricamento Lato DLL Descrizione: Caricamento di un DLL dannoso posizionandolo accanto a un eseguibile legittimo."] class tech_dll_hijack technique tech_active_scanning["Tecnica – T1595 Scansione Attiva Descrizione: Patching di EtwEventWrite e AmsiScanBuffer per evitare scansionamenti e telemetria anti-malware."] class tech_active_scanning technique tech_virt_user_check["Tecnica – T1497.002 Elusione della Virtualizzazione: Controlli di Attività Utente Descrizione: Rileva attività guidata dall’utente per determinare se in esecuzione in un sandbox."] class tech_virt_user_check technique tech_virt_time_check["Tecnica – T1497.003 Elusione della Virtualizzazione: Controlli Temporali Descrizione: Introduce latenza e ritardi basati su tempo per ostacolare l’analisi."] class tech_virt_time_check technique tech_obfusc_embedded["Tecnica – T1027.009 File o Informazioni Offuscati: Payload Incorporati Descrizione: Payload finale RAT crittografato con TEA-CBC e decrittato solo in memoria."] class tech_obfusc_embedded technique tech_keylogging["Tecnica – T1056.001 Cattura di Input: Keylogging Descrizione: Cattura le sequenze di tasti dal sistema compromesso."] class tech_keylogging technique tech_clipboard["Tecnica – T1115 Dati della Clipboard Descrizione: Legge i contenuti della clipboard per l’esfiltrazione."] class tech_clipboard technique tech_steal_cookie["Tecnica – T1539 Furto del Cookie di Sessione Web Descrizione: Estrae i cookie attivi del browser per bypassare MFA."] class tech_steal_cookie technique tech_alt_auth["Tecnica – T1550.004 Uso di Materiale di Autenticazione Alternativo: Cookie di Sessione Web Descrizione: Riutilizza i cookie raccolti come token di autenticazione validi."] class tech_alt_auth technique tech_forge_cookie["Tecnica – T1606.001 Forgiare Credenziali Web: Cookie Web Descrizione: Crea credenziali web forgiate basate su cookie rubati."] class tech_forge_cookie technique tech_private_keys["Tecnica – T1552.004 Credenziali da Archivi di Password: Chiavi Private Descrizione: Raccoglie chiavi private SSH dal filesystem."] class tech_private_keys technique tech_cred_files["Tecnica – T1552.001 Credenziali nei File Descrizione: Cerca file contenenti credenziali in testo chiaro."] class tech_cred_files technique tech_browser_creds["Tecnica – T1555.003 Credenziali dai Browser Web Descrizione: Estrae password salvate dai browser installati."] class tech_browser_creds technique tech_code_repo["Tecnica – T1213.003 Dati dai Repository di Informazioni: Repository di Codice Descrizione: Raccoglie portafogli di criptovalute e token API dai file di codice sorgente."] class tech_code_repo technique tech_trusted_dev_util["Tecnica – T1127 Proxy di Esecuzione Utilità di Sviluppatori Fidati Descrizione: Esegue payload dannosi tramite script di ciclo di vita npm e Node.js su macOS/Linux."] class tech_trusted_dev_util technique tech_input_injection["Tecnica – T1674 Iniezione di Input Descrizione: Il markdown nella skill inietta comandi che gli agenti AI analizzano e eseguono."] class tech_input_injection technique %% Tool / Malware / Process nodes process_powershell["Processo – Esecuzione a riga singola di PowerShell avviata da copia e incolla utente."] class process_powershell process tool_msiexec["Strumento – Msiexec Scopo: Installazione silenziosa dell’MSI dannoso."] class tool_msiexec tool tool_g2m_exe["Strumento – Eseguibile GoToMeeting (binario firmato legittimo)."] class tool_g2m_exe tool tool_g2m_dll["Strumento – g2m.dll dannoso caricato tramite sideloading."] class tool_g2m_dll tool malware_remcos["Malware – Remcos RAT Capacità: Accesso remoto, keylogging, esfiltrazione dati."] class malware_remcos malware tool_npm["Strumento – Script ciclo di vita npm"] class tool_npm tool tool_nodejs["Strumento – Ambiente di runtime Node.js"] class tool_nodejs tool malware_ghostloader["Malware – GhostLoader Obiettivo: macOS/Linux"] class malware_ghostloader malware %% Connections u2013 Main execution path tech_user_exec_copypaste –>|triggers| process_powershell process_powershell –>|uses| tech_msiexec tech_msiexec –>|executes| tool_msiexec tool_msiexec –>|installs MSI that drops| tool_g2m_exe tool_msiexec –>|installs MSI that drops| tool_g2m_dll tool_g2m_exe –>|facilitates| tech_dll_hijack tool_g2m_dll –>|loaded by| tech_dll_hijack tech_dll_hijack –>|leads to| tech_active_scanning tech_active_scanning –>|combined with| tech_virt_user_check tech_active_scanning –>|combined with| tech_virt_time_check tech_virt_user_check –>|enables| tech_virt_time_check tech_dll_hijack –>|delivers| tech_obfusc_embedded tech_obfusc_embedded –>|decrypts to| malware_remcos malware_remcos –>|performs| tech_keylogging malware_remcos –>|performs| tech_clipboard malware_remcos –>|exfiltrates| tech_steal_cookie tech_steal_cookie –>|enables| tech_alt_auth tech_alt_auth –>|enables| tech_forge_cookie malware_remcos –>|harvests| tech_private_keys malware_remcos –>|harvests| tech_cred_files malware_remcos –>|harvests| tech_browser_creds malware_remcos –>|collects from| tech_code_repo %% Alternative delivery path tool_npm –>|runs| tool_nodejs tool_nodejs –>|drops| malware_ghostloader malware_ghostloader –>|uses| tech_trusted_dev_util %% Input injection path tech_input_injection –>|initiates| tech_user_exec_copypaste %% Malicious link path tech_user_exec_link –>|triggers| process_powershell "

Flusso di Attacco

Narrazione & Comandi di Attacco:
1. Preparazione: L’attaccante ottiene un payload DLL dannoso (ad esempio, un RAT) e lo rinomina g2m.dll per imitare una libreria legittima.
2. Posizionamento: Il DLL viene copiato nella stessa directory del binario legittimo di GoToMeeting (C:Program FilesGoToMeeting). Poiché Windows segue l’ordine di ricerca dei DLL (prima la directory dell’applicazione), G2M.exe caricherà g2m.dll invece della libreria prevista.
3. Esecuzione: L’attaccante lancia il G2M.exe. Durante la creazione del processo, Sysmon registra Immagine = *G2M.exe. Poco dopo, Sysmon logga ImageLoaded = *g2m.dll.
Questo modello esatto soddisfa la condizione della regola Sigma (selezione1 e selezione2), causando un avviso.

Script di Test di Regressione: (PowerShell – autonomo)

# -------------------------------------------------
# Script di regressione per sideloading DLL tramite GoToMeeting
# -------------------------------------------------
$g2mPath = "C:Program FilesGoToMeeting"
$exe    = Join-Path $g2mPath "G2M.exe"
$malDll = Join-Path $g2mPath "g2m.dll"

# 1. Verifica che l'eseguibile legittimo esista
if (-not (Test-Path $exe)) {
    Write-Error "G2M.exe non trovato in $exe. Installare prima GoToMeeting."
    exit 1
}

# 2. Deploy di un placeholder DLL innocuo (simulando il payload dannoso)
#    Qui copiamo un qualsiasi DLL di sistema esistente solo per avere un file con il nome corretto.
$sourceDll = "$env:SystemRootSystem32kernel32.dll"
Copy-Item -Path $sourceDll -Destination $malDll -Force

Write-Host "[+] Posizionato DLL dannoso come $malDll"

# 3. Avvio del binario firmato – questo attiva il sideload
Write-Host "[+] Avviando G2M.exe per attivare il caricamento del DLL..."
$proc = Start-Process -FilePath $exe -PassThru

# 4. Attendere un breve periodo affinché l'evento ImageLoaded venga registrato
Start-Sleep -Seconds 5

# 5. Pulizia – terminare il processo e rimuovere il DLL
if ($proc.HasExited -eq $false) {
    Stop-Process -Id $proc.Id -Force
    Write-Host "[+] Terminato G2M.exe (PID $($proc.Id))"
}

Remove-Item -Path $malDll -Force
Write-Host "[+] Pulisci il DLL dannoso"
# -------------------------------------------------

Comandi di Pulizia: (Se l’attaccante vuole solo rimuovere gli artefatti)

# Rimuovere il DLL dannoso se ancora esistente
$dllPath = "C:Program FilesGoToMeetingg2m.dll"
if (Test-Path $dllPath) {
    Remove-Item -Path $dllPath -Force
    Write-Host "Rimosso $dllPath"
}

# Facoltativamente uccidere qualsiasi processo G2M.exe rimanente
Get-Process -Name "G2M" -ErrorAction SilentlyContinue |
    Stop-Process -Force
Write-Host "Ucciso qualsiasi processo G2M.exe rimanente"

Unisciti alla piattaforma Detection as Code di SOC Prime per migliorare la visibilità sulle minacce più rilevanti per il tuo business. Per aiutarti a iniziare e aumentare immediatamente il valore, prenota ora un incontro con gli esperti di SOC Prime.

Iscriviti gratis