De sites falsos da Proton VPN a mods de jogos, este ladrão de informações para Windows está em toda parte

"graph TB %% Class Definitions classDef action fill:#ffcccc classDef tool fill:#c2c2f0 classDef process fill:#c2f0c2 classDef malware fill:#ffd966 %% Nodes initial_access["<b>Ação</b> – <b>T1204.002 Execução do Usuário</b>: A vítima baixa ZIP malicioso de um site falso de VPN ou utilitário de hardware e executa."] class initial_access action malicious_zip["<b>Malware</b> – <b>Nome</b>: Arquivo ZIP malicioso<br/><b>Ofuscação</b>: T1027.015 Compressão"] class malicious_zip malware powershell_loader["<b>Processo</b> – <b>Nome</b>: Carregador PowerShell<br/><b>Técnica</b>: T1059.001 Interpretador de Comando e Script"] class powershell_loader process defender_exclusion["<b>Ação</b> – <b>T1564.012 Ocultar Artefatos</b>: Adiciona suas pastas à lista de exclusões do Windows Defender."] class defender_exclusion action impair_defenses["<b>Ação</b> – <b>T1562 Impedir Defesas</b>: Modifica configurações de segurança via PowerShell para evadir detecção."] class impair_defenses action cmstp_tool["<b>Ferramenta</b> – <b>Nome</b>: cmstp.exe<br/><b>Técnica</b>: T1218.003 Execução de Proxy de Binário do Sistema"] class cmstp_tool tool uac_bypass["<b>Ação</b> – <b>T1548.002 Ignorar UAC</b>: Usa CMSTP com um arquivo INF criado para obter direitos elevados."] class uac_bypass action regasm_tool["<b>Ferramenta</b> – <b>Nome</b>: regasm.exe<br/><b>Técnica</b>: T1218.009 Execução de Proxy de Binário do Sistema"] class regasm_tool tool process_hollowing["<b>Ação</b> – <b>Hollowing de Processo</b>: Cria processo Regasm e vaza-o via APIs NT."] class process_hollowing action dll_hijack["<b>Ação</b> – <b>T1574.001 Sequestro de DLL</b>: Implanta iviewers.dll malicioso que é carregado por executáveis legítimos."] class dll_hijack action persistence["<b>Ação</b> – <b>T1546 Execução de Evento Disparado</b> & <b>T1547 Inicialização ou Logon Autostart</b>: Agenda tarefas para rodar o payload no logon do usuário com privilégios elevados."] class persistence action cred_browser["<b>Ação</b> – <b>T1555.003 Credenciais de Navegadores da Web</b>: Colhe senhas e cookies de múltiplos navegadores."] class cred_browser action cred_cookie["<b>Ação</b> – <b>T1539 Roubo de Cookie de Sessão da Web</b>: Extrai cookies de sessão para serviços web."] class cred_cookie action browser_discovery["<b>Ação</b> – <b>T1217 Descoberta de Informações do Navegador</b>: Enumera perfis, extensões e configurações do navegador."] class browser_discovery action c2_dead_drop["<b>Ação</b> – <b>T1102.001 Resolver de Dead Drop de Serviço Web</b>: Recupera informações adicionais de C2 de um canal dead-drop do Telegram."] class c2_dead_drop action c2_bidirectional["<b>Ação</b> – <b>T1102.002 Comunicação Bidirecional de Serviço Web</b>: Comunica-se com C2 sobre HTTP criptografado."] class c2_bidirectional action %% Connections initial_access –>|entrega| malicious_zip malicious_zip –>|executa| powershell_loader powershell_loader –>|cria diretórios ocultos e adiciona exclusões| defender_exclusion powershell_loader –>|modifica configurações de segurança| impair_defenses powershell_loader –>|invoca| cmstp_tool cmstp_tool –>|habilita| uac_bypass uac_bypass –>|lança| regasm_tool regasm_tool –>|executa| process_hollowing process_hollowing –>|deposita| dll_hijack dll_hijack –>|facilita| persistence persistence –>|fornece ponto de apoio para| cred_browser cred_browser –>|coleta| cred_cookie cred_browser –>|coleta| browser_discovery cred_cookie –>|usado para| c2_dead_drop browser_discovery –>|fornece informações para| c2_dead_drop c2_dead_drop –>|comunica via| c2_bidirectional "

Fluxo de Ataque