Seguir 
Detection stack
- AIDR
- Alert
- ETL
- Query
Resumo
Uma campanha de malware direcionada está atingindo ativamente o setor de saúde da Tailândia por meio de arquivos RAR armados. Esses arquivos contêm scripts em lote ofuscados que desencadeiam uma cadeia de infecção em múltiplas etapas e, por fim, executam um ladrão de informações baseado em Python. O malware é projetado para capturar credenciais do navegador e cookies de sessão, exfiltrando os dados roubados por meio do Telegram.
Investigação
O Seqrite Lab identificou uma janela de campanha ativa de dez semanas de abril a junho de 2026. Sua investigação revelou uma complexa cadeia de execução envolvendo carregadores ofuscados por Rouki, cargas hospedadas no GitHub e persistência estabelecida através da pasta de Inicialização do Windows. Os analistas também observaram tentativas de roubar informações de navegadores baseados em Chromium e enviá-las através da API do Bot do Telegram.
Mitigação
As organizações devem impor controles rígidos sobre a execução de scripts e binários não confiáveis obtidos de fontes externas. O monitoramento cuidadoso de alterações não autorizadas na pasta de Inicialização do Windows é essencial. As equipes de segurança também devem restringir o acesso a serviços de hospedagem de arquivos e mensagens, como GitHub e Telegram, quando usados por processos não aprovados.
Resposta
Se a infecção for detectada, os respondedores devem isolar imediatamente os terminais afetados para interromper o roubo de dados. A análise forense deve focar nos %TEMP% and AppData diretórios para identificar cargas secundárias e artefatos relacionados. O histórico do navegador e os armazenamentos de credenciais devem ser revisados para sinais de comprometimento, e um processo de redefinição de senha deve ser iniciado para todos os usuários potencialmente afetados.
"graph TB %% Class Definitions Section classDef action fill:#99ccff classDef tool fill:#cccccc classDef malware fill:#ff9999 classDef persistence fill:#ccffcc classDef exfiltration fill:#ffccff %% Node Definitions action_phishing["<b>Ação</b> – <b>T1566.001 Phishing: Anexo de Spearphishing</b><br/>Descrição: E-mails temáticos de saúde contendo<br/>arquivos RAR maliciosos como Health_Ministry_Approved_Equipment_2026.rar"] class action_phishing action action_user_exec["<b>Ação</b> – <b>T1204.002 Execução do Usuário: Arquivo Malicioso</b><br/>Descrição: A vítima abre o arquivo e executa<br/>o script em lote malicioso incorporado"] class action_user_exec action tool_powershell["<b/>Ferramenta – <b/>Nome: PowerShell<br/><b>Técnica</b> – T1059.001 Comando e Interpretador de Scripts: PowerShell<br/>Descrição: Usado para decodificar conteúdo embutido e<br/>iniciar o download de estágios subsequentes"] class tool_powershell tool action_ingress["<b/>Ação – <b>T1105 Transferência de Ferramenta de Ingresso</b><br/>Descrição: Usando PowerShell e curl para baixar<br/>cargas secundárias de repositórios hospedados no GitHub"] class action_ingress action malware_persistence["<b/>Ação – <b>T1547.001 Execução Automática de Inicialização ou Logon: Chaves de Registro / Pasta de Inicialização</b><br/>Descrição: O arquivo em lote malicioso WindowSecuryt.bat é<br/>colocado no diretório de inicialização do Windows para garantir a persistência"] class malware_persistence persistence action_elevation["<b/>Ação – <b>T1548 Abuso do Mecanismo de Controle de Elevação</b><br/>Descrição: A carga em lote secundária u-t2.bat tenta<br/>reiniciar com privilégios elevados"] class action_elevation action malware_stealer["<b/>Malware – <b>Nome: sim.py<br/>Descrição: Ladrão de informações baseado em Python<br/>projetado para colher dados sensíveis"] class malware_stealer malware action_credentials["<b/>Ação – <b>T1555.003 Credenciais dos Navegadores Web</b><br/>Descrição: Encerra processos de navegador para colher<br/>credenciais, cookies e artefatos de sessão"] class action_credentials action action_archive["<b/>Ação – <b>T1560 Arquivar Dados Coletados</b><br/>Descrição: Dados roubados são comprimidos em arquivos ZIP<br/>para coleta eficiente"] class action_archive action action_exfiltration["<b/>Ação – <b>T1567 Exfiltração por Serviço Web</b><br/>Descrição: Transmite dados coletados para canais<br/>Telegram controlados pelos atacantes via API do Bot Telegram"] class action_exfiltration exfiltration %% Connections Section %% O ataque começa com phishing action_phishing –>|leva_a| action_user_exec %% A execução do usuário aciona o interpretador action_user_exec –>|aciona| tool_powershell %% PowerShell realiza o ingresso tool_powershell –>|executa| action_ingress %% O ingresso traz o mecanismo de persistência action_ingress –>|baixa| malware_persistence %% Persistência leva a tentativas de elevação malware_persistence –>|inicia| action_elevation %% Elevação leva à implantação do ladrão action_elevation –>|implanta| malware_stealer %% O ladrão realiza a coleta de credenciais malware_stealer –>|realiza| action_credentials %% A colheita leva ao arquivamento action_credentials –>|resulta_em| action_archive %% O arquivamento leva à exfiltração final action_archive –>|facilita| action_exfiltration "
Fluxo de Ataque
Detecções
Execução de Taskkill Suspeita (via linha de comando)
Visualizar
Execução de Python em Pastas Suspeitas (via linha de comando)
Visualizar
Download de Arquivo ZIP por PowerShell Suspeito (via linha de comando)
Visualizar
Download ou Upload via Powershell (via linha de comando)
Visualizar
Execução Suspeita do Perfil Público do Usuário (via criação de processo)
Visualizar
Uso Suspeito de CURL (via linha de comando)
Visualizar
Chamada de Métodos .NET Suspeitos via Powershell (via powershell)
Visualizar
Binários/Scripts Suspeitos em Local de Inicialização Automática (via evento de arquivo)
Visualizar
Arquivos Suspeitos no Perfil Público do Usuário (via evento de arquivo)
Visualizar
Possível Abuso do Telegram como Canal de Controle e Comando (via consulta DNS)
Visualizar
Execução de Python e Uso de Taskkill na Implantação de Ladrão de Informações [Sistema Windows]
Visualizar
Detectar Comando Curl Ofuscado no Script de Inicialização de Persistência [Criação de Processo do Windows]
Visualizar
Comandos PowerShell para Implantação de Carga e Persistência de Inicialização [Windows Powershell]
Visualizar
Execução de Simulação
Pré-requisito: O Check de Pré-voo de Telemetria e Linha de Base deve ter sido aprovado.
Justificativa: Esta seção detalha a execução precisa da técnica do adversário (TTP) projetada para acionar a regra de detecção. Os comandos e a narrativa DEVEM refletir diretamente os TTPs identificados e visa gerar a telemetria exata esperada pela lógica de detecção. Exemplos abstratos ou não relacionados levarão a diagnósticos incorretos.
-
Narrativa do Ataque & Comandos: O adversário obteve com sucesso acesso inicial e soltou um ladrão de informações baseado em Python chamado
sim.pyemC:UsersPublicDesktopsLib. O objetivo é colher credenciais do Chrome e Edge. Para evitar bloqueios de banco de dados no perfil do usuário, o atacante executa o script em Python e imediatamente executa comandostaskkillpara encerrar os processos do navegador. Essa sequência é projetada para imitar o comportamento automatizado do malware. -
Script de Teste de Regressão:
# 1. Configure o ambiente (Simule a pegada do atacante) $targetDir = "C:UsersPublicDesktopsLib" if (!(Test-Path $targetDir)) { New-Item -Path $targetDir -ItemType Directory -Force } $scriptPath = "$targetDirsim.py" "print('Roubando dados...')" | Out-File -FilePath $scriptPath -Encoding utf8 # 2. Execute o script Python "Malicioso" (Acione a Seleção 1) Write-Host "Executando script Python..." Start-Process "python.exe" -ArgumentList "`"$scriptPath`"" -Wait # 3. Execute comandos Taskkill (Acione a Seleção 2) Write-Host "Executando comandos taskkill..." $browsers = @("chrome.exe", "edge.exe", "brave.exe", "chromium.exe") foreach ($browser in $browsers) { Start-Process "taskkill.exe" -ArgumentList "/IM", $browser, "/F" -ErrorAction SilentlyContinue } -
Comandos de Limpeza:
# Remova os arquivos de malware simulados e o diretório Remove-Item -Path "C:UsersPublicDesktopsLib" -Recurse -Force