Seguir 
Detection stack
- AIDR
- Alert
- ETL
- Query
Resumo
Atores de ameaça estão usando construtores de sites impulsionados por IA para criar páginas de phishing persuasivas que imitam marcas bancárias brasileiras. Essas páginas dependem da técnica ClickFix, usando verificações CAPTCHA falsas e mensagens de recuperação do sistema para convencer as vítimas a executarem comandos maliciosos do PowerShell. O resultado é a entrega do SmartRAT, um trojan bancário baseado em PowerShell construído para acesso remoto e roubo de informações financeiras.
Investigação
Zscaler ThreatLabz identificou múltiplos domínios de typosquatting e analisou toda a cadeia de infecção, observando comentários de código gerados por IA e scripts projetados para resistir à inspeção. A investigação também expôs uma fraqueza no painel de comando e controle construído por IA que possibilitava a evasão de autenticação através de manipulação de localStorage. Pesquisadores ainda decodificaram o protocolo de comunicação do SmartRAT e documentaram seu uso de criptografia AES-CBC.
Mitigação
Organizações devem implementar filtros web para bloquear domínios conhecidos de typosquatting e maliciosos. Defesas de endpoint devem ser configuradas para detectar e restringir atividades suspeitas do PowerShell e criação não autorizada de tarefas agendadas. Esforços de conscientização do usuário também devem ensinar funcionários a reconhecerem engenharia social no estilo ClickFix, incluindo tela azul falsa, recuperação ou prompts CAPTCHA.
Resposta
Se a atividade do SmartRAT for detectada, isole os endpoints afetados imediatamente para interromper o tráfego de comando e controle e limitar movimentações futuras. Conduza análise forense para determinar o método de persistência, seja baseado em serviço ou tarefa agendada, e busque por artefatos relacionados, como msedgeupdate.txt. Revise os logs de proxy web para tráfego na infraestrutura identificada e inicie redefinição de credenciais para qualquer usuário afetado.
"graph TB %% Class Definitions Section classDef action fill:#99ccff classDef tool fill:#cccccc classDef malware fill:#ff9999 classDef technique fill:#ccffcc %% Initial Access and Execution Phase action_phishing["<b>Ação</b> – <b>T1566 Phishing</b><br/>Atores de ameaça usam domínios de typosquatting<br/>e sites gerados por IA para atrair vítimas."] class action_phishing action action_clickfix["<b>Ação</b> – <b>T1204.004 Execução pelo Usuário: Cópia e Colagem Maliciosa</b><br/>Engana usuários para colarem um comando malicioso<br/>do PowerShell na caixa de execução do Windows."] class action_clickfix action action_ingress["<b>Ação</b> – <b>T1105 Transferência de Ferramenta de Ingresso</b><br/>Baixa um dropper furtivo chamado st.txt<br/>do IP remoto 64.95.13.238."] class action_ingress action tool_dropper["<b>Ferramenta</b> – <b>Nome</b>: st.txt<br/><b>Descrição</b>: Dropper furtivo usado<br/>para facilitar a entrega do malware principal."] class tool_dropper tool %% Malware Execution and Persistence Phase malware_smartrat["<b>Malware</b> – <b>Nome</b>: SmartRAT<br/><b>Descrição</b>: RAT principal usado para<br/>vigilância e roubo de dados financeiros."] class malware_smartrat malware action_user_exec_file["<b>Ação</b> – <b>T1204.002 Execução pelo Usuário: Arquivo Malicioso</b><br/>Executa o malware principal SmartRAT."] class action_user_exec_file action action_gather_info["<b>Ação</b> – <b>T1592.001/002 Coleta de Informações do Host da Vítima</b><br/>Coleta detalhes de hardware, software e SO<br/>para gerar um token de identidade único."] class action_gather_info action action_persistence_service["<b>Ação</b> – <b>T1543.003 Criar ou Modificar Processo do Sistema: Serviço do Windows</b><br/>Cria um serviço do Windows chamado<br/>MicrosoftEdgeUpdateCore para persistência."] class action_persistence_service action action_persistence_registry["<b>Ação</b> – <b>Persistência via Chaves de Registro de Execução</b><br/>Usa chaves de execução do registro para manter o acesso."] class action_persistence_registry action action_priv_esc["<b>Ação</b> – <b>T1548 Escalação de Privilégio</b><br/>Solicita elevação do UAC para executar o<br/>serviço com privilégios de SISTEMA."] class action_priv_esc action %% Command and Control and Exfiltration Phase action_c2["<b>Ação</b> – <b>T1071 Comando e Controle</b><br/>Utiliza sockets TCP brutos em porta não conformista<br/>51888 para comunicação."] class action_c2 action action_exfiltrate["<b>Ação</b> – <b>T1041 Exfiltração Sobre Canal C2</b><br/>Rouba dados financeiros através da<br/>conexão C2 estabelecida."] class action_exfiltrate action %% Post-Exploitation and Evasion Phase action_video_capture["<b>Ação</b> – <b>T1125 Captura de Vídeo</b><br/>Realiza transmissão de tela para vigilância."] class action_video_capture action action_input_tracking["<b>Ação</b> – <b>T1056 Rastreamento de Entrada</b><br/>Utiliza keylogging para monitorar entradas do usuário."] class action_input_tracking action action_mfa_interception["<b>Ação</b> – <b>T1111 Interceptação de Autenticação de Múltiplos Fatores</b><br/>Utiliza sobreposições falsas de marca para roubar tokens MFA."] class action_mfa_interception action action_masquerading["<b>Ação</b> – <b>T1036 Mascaramento</b><br/>Usa nomes de arquivos de isca como msedge.txt para evadir detecção."] class action_masquerading action action_file_deletion["<b>Ação</b> – <b>T1070.004 Remoção de Indicadores: Exclusão de Arquivos</b><br/>Usa um comando de desinstalação para reduzir a<br/>pegada forense."] class action_file_deletion action %% Connection Flow action_phishing –>|conduz a| action_clickfix action_clickfix –>|conduz a| action_ingress action_ingress –>|baixa| tool_dropper tool_dropper –>|executa| action_user_exec_file action_user_exec_file –>|inicia| malware_smartrat malware_smartrat –>|realiza| action_gather_info malware_smartrat –>|estabelece| action_persistence_service malware_smartrat –>|estabelece| action_persistence_registry malware_smartrat –>|tenta| action_priv_esc action_priv_esc –>|habilita| action_c2 action_c2 –>|usado para| action_exfiltrate action_c2 –>|usado para| action_video_capture action_c2 –>|usado para| action_input_tracking action_c2 –>|usado para| action_mfa_interception malware_smartrat –>|usa| action_masquerading malware_smartrat –>|realiza| action_file_deletion "
Fluxo de Ataque
Detecções
Possíveis Pontos de Persistência (ASEPs – Software/NTUSER Hive) (via evento de registro)
Ver
Baixar ou Enviar via Powershell (via linha de comando)
Ver
Chamar Métodos Suspeitos do .NET do Powershell (via powershell)
Ver
Chamar Funções Suspeitas da API Windows do Powershell (via powershell)
Ver
Arquivos Suspeitos no Perfil de Usuário Público (via evento de arquivo)
Ver
Detectar Execução do PowerShell do SmartRAT via PowerShell ScriptBlockText [Windows Sysmon]
Ver
Persistência do SmartRAT via Tarefa Agendada e Modificação do Registro [Criação de Processo do Windows]
Ver
Detectar Comando e Técnicas do PowerShell usadas pelo SmartRAT [Windows Powershell]
Ver
## Execução de Simulação
Pré-requisito: O Teste de Pré-voo de Telemetria e Linha de Base deve ter sido aprovado.
Justificativa: Esta seção detalha a execução precisa da técnica adversária (TTP) projetada para acionar a regra de detecção. Os comandos e narrativa DEVEM refletir diretamente os TTPs identificados e visam gerar a telemetria exata esperada pela lógica de detecção. Exemplos abstratos ou não relacionados levarão a um diagnóstico incorreto.
-
Narrativa do Ataque & Comandos: O adversário ganhou acesso inicial com sucesso através de uma campanha de phishing (T1566) e agora está tentando estabelecer persistência. Para se misturar com a atividade legítima do sistema, o atacante usa uma abordagem “Viver da Terra”, executando um comando malicioso que se mascara como um processo de atualização do Microsoft Edge (T1036). O atacante executa uma instrução de linha de comando contendo a string
msedgeupdate.txtpara acionar um mecanismo de persistência simulado, que em um cenário real envolveria a criação de uma tarefa agendada ou serviço. -
Script de Teste de Regressão:
# Script de Simulação de Persistência do SmartRAT # Este script gera a telemetria de linha de comando específica necessária para acionar a regra de detecção. $TargetString = "msedgeupdate.txt" $FakePath = "C:UsersPublicDocuments$TargetString" # Cria um arquivo de exemplo para fazer a linha de comando parecer um pouco realista New-Item -Path $FakePath -ItemType File -Force | Out-Null Write-Host "[+] Simulando persistência do SmartRAT via linha de comando: $TargetString" -ForegroundColor Cyan # Executa o comando que aciona a lógica de detecção Start-Process cmd.exe -ArgumentList "/c echo 'Simulando atividade do SmartRAT com $TargetString' > $FakePath" -WindowStyle Hidden Write-Host "[+] Comando de simulação executado." -ForegroundColor Green -
Comandos de Limpeza:
# Limpeza do arquivo exemplo criado durante a simulação Remove-Item -Path "C:UsersPublicDocumentsmsedgeupdate.txt" -Force -ErrorAction SilentlyContinue Write-Host "[+] Limpeza completa." -ForegroundColor Yellow