Documento Falso, Acesso Real: Impersonação da Foxit Permite Controle VNC Furtivo

Resumo

Atores de ameaça estão distribuindo executáveis maliciosos que parecem ser instaladores legítimos do Foxit PDF. O instalador falso recupera um pacote MSI prejudicial que coloca componentes do UltraVNC dentro de um diretório falso temático de GPU e mantém persistência através de uma chave do registro de execução. Uma vez instalado, o malware configura um servidor VNC oculto que inicia conexões de saída para um domínio malicioso, dando aos atacantes acesso remoto furtivo ao sistema comprometido.

Investigação

A investigação descobriu arquivos falsos como datei.exe and personalfoxypdf.msi, que baixaram e instalaram UltraVNC em C:intel-GPU. Um script em lote então enumerou GUIDs de perfil de rede, criou exceções de firewall, escreveu um identificador único em IDD.txt, e adicionou uma entrada de registro de execução para lançar gpu.exe com parâmetros que se conectavam a hallonews.servemp3.com:5500. Pesquisadores também observaram o malware terminando à força rundll32.exe e exibindo uma imagem de passaporte como isca para distrair a vítima.

Mitigação

As organizações devem aplicar uma lista de permissões de aplicativos, validar assinaturas de código de instaladores antes da execução, bloquear arquivos MSI não confiáveis e monitorar entradas de registro de execução que apontam para executáveis desconhecidos. O tráfego de saída para domínios suspeitos também deve ser restringido. A conscientização do usuário permanece essencial, especialmente sobre os riscos de iniciar instaladores inesperados disfarçados como software confiável.

Resposta

Se essa atividade for detectada, isole o terminal afetado imediatamente, termine o processo UltraVNC, remova o C:intel-GPU diretório, e exclua a entrada maliciosa de execução no registro. Redefina quaisquer credenciais potencialmente expostas, conduza uma investigação forense completa e atualize as regras de detecção para cobrir os indicadores identificados de comprometimento.

Execução de Simulação

Pré-requisito: O Check de Pré-vôo da Telemetria & Linha de Base deve ter sido concluído.

Narrativa & Comandos de Ataque

1. Crie o diretório oculto “intel‑GPU” para imitar o caminho de um fornecedor legítimo de GPU.
2. Desdobre cargas úteis maliciosas (gpu.exe, UltraVNC.ini, etc.) nesse diretório. O executável é uma cópia do binário do servidor UltraVNC renomeado para camuflagem.
3. Implante um script em lote (gpu.cmd) que:
   • Adiciona uma regra de firewall permitindo VNC (porta 5900) de entrada.
   • Registra o serviço VNC para persistência via sc create.
   • Escreve uma configuração mínima para UltraVNC.ini.
4. Execute o script em lote usando cmd.exe (Execução por Proxy de Binário Assinado).

Esses passos geram exatamente os eventos de criação de arquivo listados na regra de detecção, além de eventos de criação de processo e de regra de firewall adicionais que podem ser usados para enriquecimento.

Script de Teste de Regressão

# -------------------------------------------------
#  Simulação de Controle VNC Furtivo – PowerShell
# -------------------------------------------------
# 1. Prepare diretório oculto
$targetDir = "$env:ProgramDataintel-GPU"
if (-Not (Test-Path $targetDir)) {
    New-Item -Path $targetDir -ItemType Directory -Force | Out-Null
    # Ocultar a pasta (opcional)
    attrib +h $targetDir
}

# 2. Soltar arquivos falsos de GPU (estes são substitutos inofensivos para a demonstração)
$files = @("gpu.txt","gpu.exe","gpu.cmd","UltraVNC.ini","IDD.txt")
foreach ($f in $files) {
    $path = Join-Path $targetDir $f
    Set-Content -Path $path -Value "Substituto para $f" -Encoding ASCII -Force
}

# 3. Escrever um UltraVNC.ini mínimo (a configuração real seria mais extensa)
@"
[VNC]
Password=redteam
"@ | Set-Content -Path (Join-Path $targetDir "UltraVNC.ini") -Encoding ASCII -Force

# 4. Criar um script em lote que adiciona uma regra de firewall e registra o serviço
$batchPath = Join-Path $targetDir "gpu.cmd"
@"
@echo off
rem Adicionar regra de firewall para VNC (porta 5900)
netsh advfirewall firewall add rule name=`"UltraVNC`" dir=in action=allow protocol=TCP localport=5900
rem Registrar serviço UltraVNC (usando o exe renomeado)
sc create UltraVNC binPath= `""$targetDirgpu.exe`"" start= auto
"@ | Set-Content -Path $batchPath -Encoding ASCII -Force

# 5. Executar o script em lote via cmd.exe (proxy binário assinado)
Start-Process -FilePath "cmd.exe" -ArgumentList "/c `"$batchPath`"" -WindowStyle Hidden -Wait

Write-Host "Simulação VNC furtiva concluída."

Comandos de Limpeza

# -------------------------------------------------
#  Limpeza de Artefatos VNC Furtivos
# -------------------------------------------------
$targetDir = "$env:ProgramDataintel-GPU"

# Remover regra de firewall
netsh advfirewall firewall delete rule name="UltraVNC" > $null 2>&1

# Excluir o serviço
sc stop UltraVNC > $null 2>&1
sc delete UltraVNC > $null 2>&1

# Remover o diretório e todos os arquivos
if (Test-Path $targetDir) {
    Remove-Item -Path $targetDir -Recurse -Force
}

Write-Host "Limpeza concluída."