SOC Prime Bias: Medio

11 Mag 2026 17:48
newspaper icon Netskope

Hologram di OpenClaw distribuisce un installatore falso e Rust Infostealer

Author Photo
Ruslan Mikhalov Capo della Ricerca sulle Minacce presso SOC Prime linkedin icon Segui
Hologram di OpenClaw distribuisce un installatore falso e Rust Infostealer
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query


Sommario

Un info-stealer avanzato basato su Rust viene diffuso attraverso un falso installer di OpenClaw. Il dropper iniziale, tracciato come Hologram, applica diverse tecniche di evasione dalle sandbox prima di distribuire un impianto modulare a sei componenti. L’operazione sfrutta anche piattaforme legittime come Azure DevOps, Telegram e Hookdeck per comando e controllo e consegna di dead-drop. Il suo obiettivo principale è rubare credenziali dalle estensioni del browser per portafogli di criptovalute e gestori di password.

Indagine

Netskope Threat Labs ha esaminato due onde della campagna, Hologram e Pathfinder, e ha mappato l’intera catena di infezione dall’installer fraudolento ai moduli finali di furto di credenziali. La loro analisi ha rivelato controlli anti-VM, un requisito di movimento del mouse, un runner PowerShell che disabilita Microsoft Defender, e diversi metodi di persistenza, inclusi chiavi Run, un Winlogon userinit dirottamento, attività programmate e dirottamento COM. I ricercatori hanno anche osservato frequenti cambiamenti di infrastruttura attraverso domini, canali Telegram e webhook Hookdeck.

Mitigazione

I difensori dovrebbero bloccare i download del falso installer di OpenClaw e monitorare il grande PE Rust di 130 MB associato alla campagna. I team di sicurezza dovrebbero anche rilevare la creazione del collegamento OneDriveSync.lnk nella cartella di avvio e monitorare le modifiche al registro che coinvolgono Winlogon userinit. L’accesso in uscita a Azure DevOps, all’API di Telegram e agli endpoint di Hookdeck dovrebbe essere strettamente controllato su sistemi non per sviluppatori. Le regole del firewall dovrebbero anche prevenire connessioni in entrata sulle porte 56001 a 57002.

Risposta

Se viene rilevata la minaccia, isolare immediatamente l’endpoint interessato, raccogliere i binari depositati e i file correlati, ed eseguire un’analisi forense delle modifiche al registro e degli artefatti delle attività programmate. Qualsiasi token Azure DevOps esposto dovrebbe essere revocato e le credenziali del bot Telegram compromesse dovrebbero essere ruotate. Il contenuto di rilevamento dovrebbe quindi essere aggiornato per includere il mutex osservato, i nomi dei file, e gli indicatori di rete. I soggetti interessati dovrebbero essere informati, e si dovrebbe considerare la segnalazione al CERT o ai fornitori di servizi impattati.

"graph TB %% Class definitions classDef technique fill:#ffcc99 classDef action fill:#99ccff classDef tool fill:#cccccc classDef file fill:#ffe699 classDef process fill:#ff9999 classDef shortcut fill:#c2f0c2 classDef registry fill:#c2d6f0 classDef scheduled fill:#f0c2c2 classDef c2 fill:#d9c2f0 %% Node definitions file_openclaw["<b>File</b>: OpenClaw_x64.exe<br/><b>Type</b>: Falso installer"] class file_openclaw file initial_access["<b>Technique</b> – <b>T1204.002 Esecuzione dell’Utente: File Maligno</b><br/><b>Description</b>: La vittima esegue installer maligno da openclawu2011installer.com"] class initial_access technique defense_evasion_vm["<b>Technique</b> – <b>T1497.002 Evasione Virtualizzazione/Sandbox: Controlli Basati sull’Attività dell’Utente</b><br/><b>Description</b>: Il dropper verifica la VM, l’impronta dell’hardware e attende il movimento del mouse"] class defense_evasion_vm technique defense_evasion_firewall["<b>Technique</b> – <b>T1562.004 Impair Defenses: Disabilita o Modifica Firewall</b><br/><b>Description</b>: PowerShell disabilita Microsoft Defender e apre le porte in entrata 56001u201157002"] class defense_evasion_firewall technique tool_powershell["<b>Tool</b>: PowerShell<br/><b>Description</b>: Esegue script per disabilitare componenti di sicurezza"] class tool_powershell tool execution_reflective["<b>Technique</b> – <b>T1620 Caricamento Riflessivo del Codice</b><br/><b>Description</b>: Binarie del secondo stadio decriptate eseguite in memoria tramite memexec"] class execution_reflective technique execution_injection["<b>Technique</b> – <b>T1055.002 Iniezione di Processo: Iniezione di Eseguibili Portatili</b><br/><b>Description</b>: svc_service.exe inietta payload usando syscalls NT diretti"] class execution_injection technique process_svc["<b>Processo</b>: svc_service.exe<br/><b>Description</b>: Ospita CLR ed esegue iniezioni"] class process_svc process persistence_shortcut["<b>Technique</b> – <b>T1547.009 Modifica Collegamento</b><br/><b>Description</b>: Collegamento LNK posizionato nella cartella di avvio"] class persistence_shortcut technique file_shortcut["<b>File</b>: OneDriveSync.lnk<br/><b>Location</b>: Cartella di avvio"] class file_shortcut shortcut persistence_hijack["<b>Technique</b> – <b>T1574 Dirottamento del Flusso di Esecuzione</b><br/><b>Description</b>: Modifiche al registro per WinLogon Userinit, dirottamento COM, creazione di attività programmata"] class persistence_hijack technique node_registry["<b>Registro</b>: Modifica di WinLogon Userinit<br/><b>Azione</b>: Alterazioni di ordine esecuzione"] class node_registry registry node_task["<b>Attività Programmata</b>: Attività di accesso<br/><b>Azione</b>: Esegue payload al logon utente"] class node_task scheduled c2_dead_drop["<b>Technique</b> – <b>T1102.001 Servizio Web: Dead Drop Resolver</b><br/><b>Description</b>: Recupera dominio C2 dalla descrizione del canale Telegram"] class c2_dead_drop technique c2_telegram["<b>C2 Channel</b>: Descrizione Telegram"] class c2_telegram c2 c2_bidirectional["<b>Technique</b> – <b>T1102.002 Servizio Web: Comunicazione Bidirezionale</b><br/><b>Description</b>: Comunica attraverso relay webhook Hookdeck e API Bot Telegram"] class c2_bidirectional technique tool_hookdeck["<b>Tool</b>: Hookdeck webhook relay<br/><b>Description</b>: Trasmette richieste HTTP"] class tool_hookdeck tool tool_telegram_bot["<b>Tool</b>: API Bot Telegram<br/><b>Description</b>: Fornisce messaggistica bidirezionale"] class tool_telegram_bot tool %% Connections file_openclaw –>|triggers| initial_access initial_access –>|leads_to| defense_evasion_vm defense_evasion_vm –>|leads_to| defense_evasion_firewall defense_evasion_firewall –>|executed_by| tool_powershell defense_evasion_firewall –>|leads_to| execution_reflective execution_reflective –>|loads_into| process_svc process_svc –>|performs| execution_injection execution_injection –>|creates| file_shortcut file_shortcut –>|enables| persistence_shortcut persistence_shortcut –>|supports| persistence_hijack persistence_hijack –>|modifies| node_registry persistence_hijack –>|creates| node_task persistence_hijack –>|obtains| c2_dead_drop c2_dead_drop –>|source| c2_telegram c2_dead_drop –>|uses| c2_bidirectional c2_bidirectional –>|relays_via| tool_hookdeck c2_bidirectional –>|communicates_via| tool_telegram_bot "

Flow di Attacco

Esecuzione di Simulazione

Prerequisito: Il Controllo Pre-volo di Telemetria e Baseline deve essere stato superato.

Razionale: Questa sezione descrive l’esecuzione precisa della tecnica dell’avversario (TTP) progettata per attivare la regola di rilevamento. I comandi e la narrazione riflettono direttamente i TTP identificati e mirano a generare l’esatta telemetria prevista dalla logica di rilevamento.

  • Narrazione dell’Attacco & Comandi:

    Un avversario ottiene il falso installer malvagio di OpenClaw (OpenClaw_x64.exe).
    L’utente, credendolo uno strumento legittimo per il portafoglio, esegue l’installer (T1204).
    L’installer avvia immediatamente una singola riga di comando che avvia i sei binari payload malvagi in una volta, permettendo di bypassare le euristiche sandbox e stabilire un framework ad impianto modulare (T1027.009, T1608.001, T1546.016, T1127).

    La riga di comando esatta prevista dalla regola è:

    OpenClaw_x64.exe svc_service.exe virtnetwork.exe onedrive_sync.exe audioeq.exe WinHealhCare.exe OneSync.exe

  • Script di Test di Regressione:

    # -------------------------------------------------
# Script di simulazione – attiva il rilevamento di OpenClaw
# -------------------------------------------------
$installerPath = "C:TempOpenClaw_x64.exe"

# Assicurarsi che l'installer di facciata esista (crea un segnaposto innocuo)
if (-not (Test-Path $installerPath)) {
    New-Item -ItemType File -Path $installerPath -Force | Out-Null
}

# Costruire la lista di argomenti contenente tutti e sei i nomi dei payload
$payloads = @(
    "svc_service.exe",
    "virtnetwork.exe",
    "onedrive_sync.exe",
    "audioeq.exe",
    "WinHealhCare.exe",
    "OneSync.exe"
)
$argString = $payloads -join " "

# Avviare l'installer con l'intera riga di comando maligna
Write-Host "Avvio dell'installer malvagio..."
Start-Process -FilePath $installerPath -ArgumentList $argString -NoNewWindow

# Aspetta alcuni secondi per consentire a Sysmon / Sicurezza il log evento
Start-Sleep -Seconds 5
Write-Host "Simulazione completata. Verifica SIEM per avviso."

  • Comandi di Pulizia:

    # -------------------------------------------------
# Script di pulizia – rimuove gli artefatti creati per il test
# -------------------------------------------------
$installerPath = "C:TempOpenClaw_x64.exe"
if (Test-Path $installerPath) {
    Remove-Item -Path $installerPath -Force
}

# Opzionalmente terminare processi payload rimanenti (sono solo segnaposto)
Get-Process -Name "svc_service","virtnetwork","onedrive_sync","audioeq","WinHealhCare","OneSync" -ErrorAction SilentlyContinue |
    Stop-Process -Force
Write-Host "Pulizia terminata."

Unisciti alla piattaforma Detection as Code di SOC Prime per migliorare la visibilità sulle minacce più rilevanti per il tuo business. Per aiutarti a iniziare e aumentare immediatamente il valore, prenota ora un incontro con gli esperti di SOC Prime.

Iscriviti gratis