SOC Prime Bias: Médio

29 May 2026 07:02 UTC
newspaper icon ASEC

Falsos “E-mails Seguros” Entregam Arquivos Maliciosos Posando como Empresas de Cartão de Crédito

Author Photo
SOC Prime Team linkedin icon Seguir
Falsos “E-mails Seguros” Entregam Arquivos Maliciosos Posando como Empresas de Cartão de Crédito
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query


Resumo

A AhnLab descobriu uma campanha de phishing que entrega arquivos LNK maliciosos disfarçados como notificações de email seguro de um grande provedor de cartão de crédito coreano. Quando aberto, o atalho lança um HTA através de mshta.exe e PowerShell, depois baixa cargas adicionais que mudam dependendo se o Windows Defender está ativado. Se o Defender estiver ativo, os atacantes usam curl para recuperar arquivos criptografados que são posteriormente descompactados e executados. Se o Defender estiver desativado, a cadeia muda para carregamento direto de DLL e atividade adicional de downloader. O malware resultante suporta roubo de informações, keylogging, coleta de área de transferência e capacidades de backdoor.

Investigação

A investigação mostrou que o arquivo LNK inicial lança mshta.exe, que executa um HTA contendo VBScript ofuscado. Esse HTA baixa pipe.zip, que inclui scripts codificados em Base64 nomeados 1.log, 1.ps1, e 2.log, todos os quais são decodificados e executados na memória. Quando o Defender está inativo, o malware em vez disso baixa user.txt and sys.log, decripta sys.log em sys.dll, e a executa através de rundll32. Análise do user.txt decriptado expôs três URLs do Google Drive usadas para buscar arquivos maliciosos adicionais, incluindo notepad.log, net, e app, que são armazenados em %LOCALAPPDATA%.

Mitigação

Defesas recomendadas incluem verificar a legitimidade dos anexos de email, impedir a execução automática de arquivos LNK e monitorar o uso suspeito de mshta.exe and curl. As equipes de segurança também devem procurar e remover arquivos como 1.log, 1.ps1, 2.log, notepad.log, net, e app de %TEMP% and %LOCALAPPDATA%. Além disso, os defensores devem inspecionar o sistema em busca de alterações inesperadas no registro e garantir que o Windows Defender ou outra plataforma de proteção de endpoint permaneça ativada e devidamente configurada.

Resposta

Se esta atividade for detectada, isole o sistema afetado imediatamente, termine qualquer mshta.exe, curl, ou rundll32 processos executando arquivos desconhecidos, e preserve os artefatos maliciosos para análise forense. Realize uma varredura completa do sistema, redefina quaisquer credenciais potencialmente expostas e monitore para atividade de backdoor subsequente ligada a notepad.log. O conteúdo de detecção também deve ser atualizado com os indicadores de compromisso observados, e os controles de segurança de email devem ser reforçados para bloquear iscas de phishing semelhantes no futuro.

"graph TB %% Class definitions classDef action fill:#99ccff classDef operator fill:#ff9900 classDef builtin fill:#cccccc %% Nodes initial_user_exec["<b>Técnica</b> – <b>T1204.002 Execução pelo Usuário: Arquivo Malicioso</b><br/>Vítima abre .lnk disfarçado como email seguro de empresa de cartão de crédito."] class initial_user_exec action exec_mshta["<b>Técnica</b> – <b>T1218.005 Execução de Proxy de Binário do Sistema: Mshta</b><br/>LNK lança PowerShell que executa mshta.exe para buscar HTA remoto contendo VBScript ofuscado."] class exec_mshta action exec_powershell["<b>Técnica</b> – <b>T1059.001 Interpretador de Comando e Script: PowerShell</b><br/>PowerShell baixa cargas adicionais via curl."] class exec_powershell action masquerade["<b>Técnica</b> – <b>T1036.008 Mascaramento: Tipo de Arquivo de Mascaramento</b><br/>Arquivo LNK disfarçado como email seguro."] class masquerade action obfuscate["<b>Técnica</b> – <b>T1027 Arquivos ou Informações Ofuscados</b><br/>Cargas criptografadas com AES, codificadas em Base64; contrabando de ícone LNK."] class obfuscate action sandbox_evasion["<b>Técnica</b> – <b>T1497.002 Evasão de Virtualização/Sandbox: Verificações Baseadas em Atividade do Usuário</b><br/>Malware verifica status do Windows Defender."] class sandbox_evasion action cond_defender["<b>Operador</b> – Condição AND com base no status do Defender"] class cond_defender operator defender_on["<b>Condição</b> – Defender ativo"] class defender_on action defender_off["<b>Condição</b> – Defender desativado"] class defender_off action download_pipe["<b>Ação</b> – Baixa pipe.zip, decifra e extrai 1.log, 1.ps1, 2.log."] class download_pipe action cred_access["<b>Técnica</b> – <b>T1539 Sequestro de Sessão de Navegador</b>, <b>T1185 Cookie de Sessão Web</b>, <b>T1555.003 Credenciais de Navegadores Web</b><br/>Scripts realizam acesso de credenciais."] class cred_access action collection["<b>Técnica</b> – <b>T1056.001 Captura de Entrada: Keylogging</b> e <b>T1115 Dados da Área de Transferência</b><br/>Coleta de pressionamento de teclas e conteúdo da área de transferência."] class collection action download_sys["<b>Ação</b> – Baixa user.txt e sys.log, decodifica sys.dll."] class download_sys action load_rundll["<b>Técnica</b> – <b>T1218.011 Execução de Proxy de Binário Assinado: Rundll32</b><br/>Carrega sys.dll via rundll32."] class load_rundll action persistence_appinit["<b>Técnica</b> – <b>T1546.010 Execução Acionada por Evento: DLLs AppInit</b><br/>sys.dll usado para persistência/evasão."] class persistence_appinit action command_control["<b>Técnica</b> – <b>T1219 Ferramentas de Acesso Remoto</b><br/>notepad.log fornece execução de comando remoto, exfiltração de arquivos e coleta de dados adicional."] class command_control action clipboard_phish["<b>Técnica</b> – <b>T1204.004 Copiar e Colar Malicioso</b><br/>Técnicas de phishing por área de transferência."] class clipboard_phish action %% Connections initial_user_exec –>|leva a| exec_mshta exec_mshta –>|executa| exec_powershell exec_powershell –>|habilita| masquerade masquerade –>|habilita| obfuscate obfuscate –>|habilita| sandbox_evasion sandbox_evasion –>|dispara| cond_defender cond_defender –>|se Defender ativo| defender_on cond_defender –>|se Defender desativado| defender_off defender_on –>|baixa| download_pipe download_pipe –>|contém| cred_access cred_access –>|habilita| collection defender_off –>|baixa| download_sys download_sys –>|carrega| load_rundll load_rundll –>|estabelece| persistence_appinit persistence_appinit –>|habilita| command_control command_control –>|usa| clipboard_phish "

Fluxo de Ataque

Execução de Simulação

Pré-requisito: O Verificação de Telemetria & Baseline Pre‑flight Check deve ter passado.

  • Narrativa do Ataque & Comandos:
    Um adversário obteve uma posição na endpoint e deseja executar código arbitrário enquanto evita o controle tradicional de aplicação. Eles criam um arquivo HTA malicioso contendo VBScript ofuscado que, quando renderizado, grava um backdoor em PowerShell no disco. Para lançar o HTA, eles usam um atalho do Windows (.lnk) que chama powershell.exe com um comando que invoca mshta.exe. Executar o atalho aciona a cadeia PowerShell → mshta , produzindo a telemetria exata que a regra monitora.

  • Script de Teste de Regressão:

    # -------------------------------------------------
# 1. Criar HTA malicioso com VBScript ofuscado
# -------------------------------------------------
$htaPath = "$env:TEMPevil.hta"
$vbscript = @"
<script language='VBScript'>
' Payload VBScript ofuscado (exemplo: escrever um arquivo)
Dim fso, f
Set fso = CreateObject("Scripting.FileSystemObject")
Set f = fso.CreateTextFile("C:WindowsTemppwned.txt", True)
f.WriteLine "Comprometido por ATT&CK"
f.Close
</script>
"@
Set-Content -Path $htaPath -Value $vbscript -Encoding ASCII

# -------------------------------------------------
# 2. Criar um atalho (.lnk) que executa PowerShell → mshta
# -------------------------------------------------
$lnkPath = "$env:TEMPlaunch_malicious.lnk"
$ws = New-Object -ComObject WScript.Shell
$shortcut = $ws.CreateShortcut($lnkPath)

# Comando PowerShell que lança mshta com o arquivo HTA
$psCommand = "mshta.exe `"$htaPath`""
$shortcut.TargetPath = "C:WindowsSystem32WindowsPowerShellv1.0powershell.exe"
$shortcut.Arguments = "-NoProfile -WindowStyle Hidden -Command `"$psCommand`""
$shortcut.Save()

# -------------------------------------------------
# 3. Execute o atalho para acionar a detecção
# -------------------------------------------------
Write-Host "Executando atalho malicioso..."
& $lnkPath

# -------------------------------------------------
# 4. Pausar para permitir a coleta de logs
# -------------------------------------------------
Start-Sleep -Seconds 10

  • Comandos de Limpeza:

    # Remover artefatos criados
Remove-Item -Path "$env:TEMPevil.hta" -Force -ErrorAction SilentlyContinue
Remove-Item -Path "$env:TEMPlaunch_malicious.lnk" -Force -ErrorAction SilentlyContinue
Remove-Item -Path "C:WindowsTemppwned.txt" -Force -ErrorAction SilentlyContinue
Write-Host "Limpeza completa."

Junte-se à plataforma Detection as Code da SOC Prime para melhorar a visibilidade das ameaças mais relevantes para o seu negócio. Para ajudá-lo a começar e gerar valor imediato, agende uma reunião agora com os especialistas da SOC Prime.

Cadastre-se Gratuitamente