Seguir 
Detection stack
- AIDR
- Alert
- ETL
- Query
Resumo
Um site malicioso que se apresenta como um serviço gratuito de remoção de fundo entrega uma estrutura de malware em várias etapas conhecida como CastleLoader. Uma vez executado, o carregador instala o NetSupport RAT juntamente com um stealer personalizado em .NET projetado para extrair credenciais de navegadores, dados de carteiras de criptomoedas e informações de sessão do Telegram. O malware se comunica com sua infraestrutura de comando e controle através de canais criptografados que dependem de protocolos personalizados e da criptografia ChaCha20. A campanha também emprega múltiplas técnicas de evasão, incluindo oco de processo, injeção APC e abuso de ReplaceTextW, para reduzir a detecção e manter a execução.
Investigação
Pesquisadores rastrearam o ataque até um payload inicial copiado para a área de transferência da vítima através de um falso aviso “Não sou um robô”, seguido pelo uso de finger.exe para recuperar um comando de um servidor remoto. Análises aprofundadas descobriram uma cadeia de trazer seu próprio interpretador baseada em Python que baixou componentes adicionais de malware, um carregador de shellcode personalizado protegido com RC4, e um carregador PE reflexivo que chamava NtAllocateVirtualMemory diretamente. Os investigadores descobriram que o CastleLoader buscava tarefas criptografadas de seu servidor de comando e controle, as descriptografava na memória, e lançava payloads subsequentes através de diferentes métodos de execução.
Mitigação
Os defensores devem bloquear a execução de utilitários Windows desnecessários, como finger.exe and regsvr32.exe, impor políticas de controle de aplicativos como AppLocker ou similares e restringir o tráfego de saída para domínios não confiáveis e portas incomuns. As organizações também devem considerar limitar o acesso à caixa de diálogo Executar onde operacionalmente possível e monitorar o uso suspeito de ReplaceTextW e atividade incomum de objetos COM. O fortalecimento do navegador pode ajudar a reduzir a exposição ao roubo de credenciais baseado em DPAPI, enquanto manter as extensões de carteiras de criptomoedas atualizadas pode diminuir o risco de comprometimento da carteira.
Resposta
As equipes de segurança devem buscar o CastleLoader detectando o comando característico da área de transferência, monitorando o tráfego para os domínios de comando e controle identificados e procurando pelas strings de agente de usuário personalizadas do malware. Os investigadores também devem revisar quaisquer tarefas programadas criadas em %ProgramData% e procurar pelo valor do mutex associado. Se a infecção for confirmada, isole o host afetado, termine quaisquer processos ativos do NetSupport RAT, e remova arquivos maliciosos depositados em %ProgramData% and %LocalAppData%.
"graph TB %% Class Definitions classDef technique fill:#ffcc99 classDef operator fill:#ff9900 %% Node Definitions tech_content_injection["<b>Technique</b> – <b>T1659 Injeção de Conteúdo</b><br/><b>Descrição</b>: O adversário injeta conteúdo malicioso em arquivos legítimos ou fluxos de dados para entregar cargas úteis."] class tech_content_injection technique tech_user_exec_link["<b>Técnica</b> – <b>T1204.001 Execução de Usuário: Link Malicioso</b><br/><b>Descrição</b>: A vítima é enganada a clicar em um link malicioso que lança código malicioso."] class tech_user_exec_link technique tech_user_exec_copypaste["<b>Técnica</b> – <b>T1204.004 Execução de Usuário: Copiar e Colar Malicioso</b><br/><b>Descrição</b>: A vítima copia e cola código malicioso ou comandos em um aplicativo confiável."] class tech_user_exec_copypaste technique tech_obfuscation["<b>Técnica</b> – <b>T1027 Arquivos ou Informações Ofuscadas</b><br/><b>Descrição</b>: O malware é escondido usando técnicas de ofuscação para evadir a detecção."] class tech_obfuscation technique tech_deobfuscate["<b>Técnica</b> – <b>T1140 Desofuscar/Decodificar Arquivos ou Informações</b><br/><b>Descrição</b>: O código malicioso é decodificado ou desofuscado para revelar sua funcionalidade real."] class tech_deobfuscate technique tech_encrypted_channel["<b>Técnica</b> – <b>T1573 Canal Criptografado</b><br/><b>Descrição</b>: A comunicação é criptografada para proteger dados em trânsito da análise."] class tech_encrypted_channel technique tech_process_injection_apc["<b>Técnica</b> – <b>T1055.009 Injeção de Processo (APC)</b><br/><b>Descrição</b>: O código é injetado em um processo alvo usando Chamadas de Procedimento Assíncrono."] class tech_process_injection_apc technique tech_process_hollowing["<b>Técnica</b> – <b>T1055.012 Injeção de Processo (Process Hollowing)</b><br/><b>Descrição</b>: Um processo legítimo é criado e sua memória é substituída por código malicioso."] class tech_process_hollowing technique tech_reflective_loading["<b>Técnica</b> – <b>T1620 Carregamento de Código Reflexivo</b><br/><b>Descrição</b>: O código malicioso é carregado diretamente na memória sem tocar no disco."] class tech_reflective_loading technique tech_screen_capture["<b>Técnica</b> – <b>T1113 Captura de Tela</b><br/><b>Descrição</b>: Captura capturas de tela do desktop da vítima para reconhecimento."] class tech_screen_capture technique tech_regsvr32["<b>Técnica</b> – <b>T1218.010 Execução de Proxy Regsvr32</b><br/><b>Descrição</b>: Usa regsvr32 para executar código malicioso através de uma DLL proxy."] class tech_regsvr32 technique tech_masquerading["<b>Técnica</b> – <b>T1036.011 Mascaramento (cópia conhost)</b><br/><b>Descrição</b>: O binário malicioso é renomeado ou copiado para se assemelhar ao conhost.exe para evitar suspeitas."] class tech_masquerading technique tech_relocate_malware["<b>Técnica</b> – <b>T1070.010 Reubicar Malware (nomes de arquivos aleatórios)</b><br/><b>Descrição</b>: Arquivos de malware são movidos e renomeados com nomes aleatórios para dificultar a descoberta."] class tech_relocate_malware technique tech_credential_theft["<b>Técnica</b> – <b>T1552.004 Roubo de Credenciais (DPAPI/AES)</b><br/><b>Descrição</b>: Extrai credenciais protegidas por DPAPI ou criptografia AES."] class tech_credential_theft technique tech_keylogging["<b>Técnica</b> – <b>T1056.001 Keylogging</b><br/><b>Descrição</b>: Captura as teclas digitadas pelo usuário para colher informações sensíveis."] class tech_keylogging technique %% Connections tech_content_injection –>|leads_to| tech_user_exec_link tech_user_exec_link –>|leads_to| tech_user_exec_copypaste tech_user_exec_copypaste –>|leads_to| tech_obfuscation tech_obfuscation –>|leads_to| tech_deobfuscate tech_deobfuscate –>|leads_to| tech_encrypted_channel tech_encrypted_channel –>|leads_to| tech_process_injection_apc tech_process_injection_apc –>|leads_to| tech_process_hollowing tech_process_hollowing –>|leads_to| tech_reflective_loading tech_reflective_loading –>|leads_to| tech_screen_capture tech_screen_capture –>|leads_to| tech_regsvr32 tech_regsvr32 –>|leads_to| tech_masquerading tech_masquerading –>|leads_to| tech_relocate_malware tech_relocate_malware –>|leads_to| tech_credential_theft tech_credential_theft –>|leads_to| tech_keylogging "
Fluxo de Ataque
Detecções
Possíveis Pontos de Persistência [ASEPs – Hive de Software/NTUSER] (via registry_event)
Ver
Padrões de Ataque Possíveis do ClickFix Em Linha de Comando (via cmdline)
Ver
Execução de Taskkill Suspeita (via cmdline)
Ver
Uso Explicito COMSPEC Suspeito (via criação de processo)
Ver
Possível Descoberta de Sistema Remoto ou Verificação de Conectividade (via cmdline)
Ver
Tentativa de Execução de Binário do NetSupport Manager A Partir de Diretório Suspeito (via criação de processo)
Ver
Uso Suspeito de CURL (via cmdline)
Ver
Binário / Scripts Suspeitos em Local de Inicialização Automática (via file_event)
Ver
IOCs (HashSha256) para detectar: ClickFix Remove Seu Fundo, mas Deixa o Malware
Ver
IOCs (SourceIP) para detectar: ClickFix Remove Seu Fundo, mas Deixa o Malware
Ver
IOCs (DestinationIP) para detectar: ClickFix Remove Seu Fundo, mas Deixa o Malware
Ver
Detecção de uso malicioso do finger.exe com criptografia RC4 ou AES-CBC [Conexão de Rede do Windows]
Ver
Execução do CastleLoader via Regsvr32 e Process Hollowing com PowerShell [Criação de Processo no Windows]
Ver
Execução da Simulação
Pré-requisito: A Verificação Prévia de Telemetria & Baseline deve ter sido aprovada.
Justificativa: Esta seção detalha a execução precisa da técnica do adversário (TTP) projetada para acionar a regra de detecção. Os comandos e a narrativa DEVEM refletir diretamente os TTPs identificados e visam gerar a telemetria exata esperada pela lógica de detecção.
-
Narrativa do Ataque & Comandos:
Um adversário que já comprometeu uma conta de baixo privilégio deseja usar um binário assinado do Windows (finger.exe) para ocultar a execução de uma carga útil de criptografia personalizada. Eles invocam o binário com um argumento elaborado que inclui a string “RC4” (ou “AES‑CBC”) para indicar o cifrador escolhido. Como o binário é assinado, o Windows AppLocker ou outras soluções de lista branca são menos propensos a bloqueá-lo, e a palavra-chave de linha de comando satisfaz a encryption condição da regra Sigma. -
Script de Teste de Regressão:
# ------------------------------------------------------------ # Uso malicioso simulado do finger.exe com criptografia RC4 # ------------------------------------------------------------ # Certifique-se de que finger.exe está no PATH ou especifique caminho completo. $fingerPath = "$env:SystemRootSystem32finger.exe" if (-not (Test-Path $fingerPath)) { Write-Error "finger.exe não encontrado em $fingerPath" exit 1 } # Crie uma linha de comando que inclua a palavra-chave RC4 $maliciousCmd = "$fingerPath -p RC4 -target 10.0.0.5" Write-Host "Executando comando malicioso: $maliciousCmd" Invoke-Expression $maliciousCmd # Opcional: Adormecer para permitir a ingestão SIEM Start-Sleep -Seconds 5 -
Comandos de Limpeza:
# Termine quaisquer processos remanescentes de finger.exe Get-Process -Name finger -ErrorAction SilentlyContinue | Stop-Process -Force Write-Host "Limpeza completa."