SOC Prime Bias: Médio

06 May 2026 11:31 UTC

VENOMOUS#HELPER: Campanha de Phishing Dual-RMM Usa SimpleHelp e ScreenConnect Envasados com JWrapper para Acesso Remoto Silencioso

Author Photo
SOC Prime Team linkedin icon Seguir
VENOMOUS#HELPER: Campanha de Phishing Dual-RMM Usa SimpleHelp e ScreenConnect Envasados com JWrapper para Acesso Remoto Silencioso
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Resumo

Uma campanha de phishing tem usado um site mexicano comprometido para distribuir um executável empacotado com JWrapper que instala as ferramentas legítimas de gerenciamento remoto SimpleHelp e ScreenConnect. Embora ambos os binários sejam assinados e normalmente confiáveis, os atacantes os abusam para obter acesso remoto persistente e silencioso através de modificações nos serviços do Windows e no registro do Modo de Segurança. Desde abril de 2025, a atividade impactou mais de 80 organizações nos Estados Unidos, Europa Ocidental e América Latina. Embora a atribuição permaneça incerta, a campanha parece ser financeiramente motivada.

Investigação

A Securonix conduziu uma análise dinâmica da carga entregue e descobriu uma configuração de acesso remoto de canal duplo baseada no SimpleHelp 5.0.1 e no ConnectWise ScreenConnect. O malware se instala como um serviço do Windows, cria uma entrada no registro SafeBoot para sobreviver a reinicializações no Modo de Segurança e usa laços de polling repetidos para identificar produtos de segurança instalados e determinar se um usuário está presente na máquina. Os investigadores também descobriram que um wmic.exe.bak binário foi usado como parte da cadeia de execução para ajudar a contornar detecções baseadas em nomes.

Mitigação

As equipes de segurança devem monitorar a criação do serviço Remote Access Service do Windows, a entrada de registro associada SafeBoot e o aparecimento de wmic.exe.bak dentro do diretório System32wbem . As defesas de rede devem bloquear o tráfego UDP de saída para 84.200.205.233:5555 e o tráfego TCP para sslzeromail.run.place:8041. Os defensores também devem remover o serviço malicioso e os arquivos relacionados enquanto procuram por utilitários renomeados e outros artefatos ligados à intrusão.

Resposta

Se esta atividade for detectada, isole o sistema afetado imediatamente, pare e remova o serviço malicioso, exclua a entrada de registro SafeBoot e remova o diretório de instalação do JWrapper do host. Os investigadores devem então realizar uma análise forense para determinar se ocorreu movimento lateral e atualizar a lógica de detecção para capturar os cadeias de processos específicos e padrões de comandos observados na campanha. As partes interessadas relevantes devem ser informadas, e uma busca mais ampla por ameaças deve ser considerada para identificar vítimas adicionais.

Fluxo de Ataque

Detecções

Agente SimpleHelp Executado do Diretório de Acesso Remoto JWrapper (via criação_de_processo)

Equipe SOC Prime
05 de maio de 2026

Possível Enumeração de Software Antivirus ou Firewall (via criação_de_processo)

Equipe SOC Prime
05 de maio de 2026

Software Alternativo de Acesso Remoto/Gestão (via criação_de_processo)

Equipe SOC Prime
05 de maio de 2026

Possível Tentativa de Uso do Simple Help RMM (via evento_de_arquivo)

Equipe SOC Prime
05 de maio de 2026

IOCs (HashSha512) para detectar: VENOMOUS#HELPER: Campanha de Phishing Dual-RMM Aproveitando SimpleHelp e ScreenConnect Empacotados com JWrapper para Acesso Remoto Silencioso

Regras de IA SOC Prime
05 de maio de 2026

IOCs (HashSha256) para detectar: VENOMOUS#HELPER: Campanha de Phishing Dual-RMM Aproveitando SimpleHelp e ScreenConnect Empacotados com JWrapper para Acesso Remoto Silencioso

Regras de IA SOC Prime
05 de maio de 2026

IOCs (HashMd5) para detectar: VENOMOUS#HELPER: Campanha de Phishing Dual-RMM Aproveitando SimpleHelp e ScreenConnect Empacotados com JWrapper para Acesso Remoto Silencioso

Regras de IA SOC Prime
05 de maio de 2026

IOCs (SourceIP) para detectar: VENOMOUS#HELPER: Campanha de Phishing Dual-RMM Aproveitando SimpleHelp e ScreenConnect Empacotados com JWrapper para Acesso Remoto Silencioso

Regras de IA SOC Prime
05 de maio de 2026

IOCs (DestinationIP) para detectar: VENOMOUS#HELPER: Campanha de Phishing Dual-RMM Aproveitando SimpleHelp e ScreenConnect Empacotados com JWrapper para Acesso Remoto Silencioso

Regras de IA SOC Prime
05 de maio de 2026

Monitoramento de Atividade Potencial de RAT por Comandos Renomeados wmic.exe e Interface WiFi [Windows Sysmon]

Regras de IA SOC Prime
05 de maio de 2026

Detecção de Campanha de Phishing Dual-RMM Usando SimpleHelp e ScreenConnect [Criação de Processo do Windows]

Regras de IA SOC Prime
05 de maio de 2026

Execução de Simulação

Pré-requisito: O Check de Pré-vôo de Telemetria & Baseline deve ter sido aprovado.

Justificativa: Esta seção detalha a execução precisa da técnica do adversário (TTP) projetada para acionar a regra de detecção. Os comandos e a narrativa DEVEM refletir diretamente os TTPs identificados e visam gerar exatamente a telemetria esperada pela lógica de detecção.

  • Narrativa & Comandos do Ataque:

    O atacante recebe um anexo de phishing (T1566.001) que solta uma carga maliciosa nomeada statement5648.exe no diretório %TEMP% . Para evitar detecção, o arquivo está assinado com um certificado válido (código ofuscado – T1027) e é executado como um serviço Windows (T1543.003) para persistência. Porque o nome do executável corresponde a um dos sufixos da regra, o Sysmon registra um EventID 1 com Imagem terminando em statement5648.exe, o que deve acionar a regra de detecção. O atacante também desativa o antivírus (T1562.009) e tenta bypassar UAC (T1548.002) para ganhar privilégios elevados.

  • Script de Teste de Regressão:

    #------------------------------------------------------------
    # Simulação de Campanha de Phishing Dual-RMM – aciona regra Sigma
    #------------------------------------------------------------
    $payloadPath = "$env:TEMPstatement5648.exe"
    $serviceName = "DualRMMHelper"
    
    # 1. Soltar um executável fictício (cópia do notepad.exe) e renomear
    Write-Host "[*] Soltando carga disfarçada para $payloadPath"
    Copy-Item -Path "$env:SystemRootSystem32notepad.exe" -Destination $payloadPath -Force
    
    # 2. Criar um serviço Windows que roda a carga (persistência)
    Write-Host "[*] Instalando serviço $serviceName"
    sc.exe create $serviceName binPath= "`"$payloadPath`"" start= auto > $null
    
    # 3. Iniciar o serviço – isso gera evento Sysmon ProcessCreate
    Write-Host "[*] Iniciando serviço $serviceName"
    sc.exe start $serviceName > $null
    
    # 4. OPCIONAL: Simular bypass de UAC / impersonação de token (placeholder no-op)
    #    Em uma execução de red-team real, isso envolveria Invoke-BypassUAC ou similar.
    Write-Host "[*] Simulação completa – cheque o SIEM para detecção."
    #------------------------------------------------------------
  • Comandos de Limpeza:

    #------------------------------------------------------------
    # Limpeza para simulação Dual-RMM
    #------------------------------------------------------------
    $serviceName = "DualRMMHelper"
    $payloadPath = "$env:TEMPstatement5648.exe"
    
    # Parar e deletar o serviço
    sc.exe stop $serviceName > $null
    sc.exe delete $serviceName > $null
    
    # Remover o executável falso
    Remove-Item -Path $payloadPath -Force
    
    Write-Host "[*] Limpeza completa."
    #------------------------------------------------------------