Seguir 
Detection stack
- AIDR
- Alert
- ETL
- Query
Resumo
Um e-mail de phishing se passando por DHL direcionou o destinatário a um anexo em PDF que instruía a clicar em um botão. Esse botão levou ao download de um .scr arquivo malicioso de um site de logística vietnamita comprometido. Ao ser executado, o arquivo instalou uma ferramenta de acesso remoto SimpleHelp assinada, permitindo que o atacante estabelecesse acesso remoto persistente à máquina da vítima.
Investigação
O relatório explica que o e-mail de phishing usou imagens hospedadas em um serviço legítimo do Yahoo para parecer mais convincente e contou com um endereço de remetente falsificado para imitar uma fonte confiável. O .scr arquivo baixado foi identificado como um instalador modificado do gerenciador remoto SimpleHelp que acionou um prompt UAC antes de ser executado. Após a instalação, o software iniciou a comunicação de saída com infraestrutura controlada pelo atacante para receber comandos e manter o controle do sistema comprometido.
Mitigação
As organizações devem treinar os usuários para verificar cuidadosamente os endereços de remetentes e prestar atenção a extensões de arquivo suspeitas antes de abrir anexos ou downloads. A autenticação multifator deve ser habilitada sempre que possível, e a proteção de endpoint com capacidades atuais de filtragem web deve ser implantada para bloquear conteúdo malicioso. Os defensores também devem bloquear o domínio malicioso identificado e monitorar atividades não autorizadas do SimpleHelp no ambiente.
Resposta
Se esta atividade for detectada, isole imediatamente o endpoint afetado, termine o processo SimpleHelp e remova o .scr arquivo malicioso do host. Os investigadores devem então realizar uma análise forense para identificar quaisquer artefatos adicionais ou atividades subsequentes relacionadas à intrusão. Quaisquer credenciais usadas no sistema comprometido devem ser redefinidas e as regras de segurança de e-mail devem ser fortalecidas para reduzir a exposição a armadilhas de phishing semelhantes no futuro.
"graph TB %% Class definitions classDef action fill:#99ccff classDef technique fill:#ffcc99 classDef file fill:#ccffcc classDef malware fill:#ff9999 classDef protocol fill:#ccccff %% Nodes action_phishing["<b>Ação</b> – Campanha de Phishing"] class action_phishing action tech_T1566_001["<b>Técnica</b> – T1566.001 Phishing: Anexo Spearphishing<br/><b>Descrição</b>: E-mails de phishing direcionados que contêm anexos maliciosos."] class tech_T1566_001 technique file_pdf["<b>Arquivo</b> – Anexo PDF malicioso (se passando por DHL)"] class file_pdf file action_user_exec["<b>Ação</b> – Execução de Arquivo Malicioso pelo Usuário"] class action_user_exec action tech_T1204_002["<b>Técnica</b> – T1204.002 Execução pelo Usuário: Arquivo Malicioso<br/><b>Descrição</b>: O usuário é enganado a abrir ou executar um arquivo malicioso."] class tech_T1204_002 technique file_scr["<b>Arquivo</b> – AWB-Doc0921.scr baixado e executado"] class file_scr file tech_T1553_002["<b>Técnica</b> – T1553.002 Subverter Controles de Confiança: Assinatura de Código<br/><b>Descrição</b>: Adversários usam certificados de assinatura de código roubados ou falsificados para assinar arquivos maliciosos."] class tech_T1553_002 technique tech_T1036_008["<b>Técnica</b> – T1036.008 Mascaramento: Tipo de Arquivo Mascarado<br/><b>Descrição</b>: Arquivos são renomeados ou apresentados como um tipo diferente para contornar defesas."] class tech_T1036_008 technique malware_simplehelp["<b>Malware</b> – Ferramenta de Acesso Remoto SimpleHelp"] class malware_simplehelp malware tech_T1219["<b>Técnica</b> – T1219 Ferramentas de Acesso Remoto<br/><b>Descrição</b>: Uso de ferramentas de acesso remoto para controlar hosts comprometidos."] class tech_T1219 technique tech_T1071_001["<b>Técnica</b> – T1071.001 Protocolo de Camada de Aplicação: Protocolos Web<br/><b>Descrição</b>: Uso de HTTP/HTTPS para comunicações de comando e controle."] class tech_T1071_001 protocol tech_T1133["<b>Técnica</b> – T1133 Serviços Remotos Externos<br/><b>Descrição</b>: Uso de serviços remotos legítimos para acessar sistemas comprometidos."] class tech_T1133 technique %% Connections action_phishing –>|usa| tech_T1566_001 tech_T1566_001 –>|entrega| file_pdf file_pdf –>|aciona| action_user_exec action_user_exec –>|usa| tech_T1204_002 tech_T1206_002 –>|executa| file_scr file_scr –>|assinado_com| tech_T1553_002 tech_T1553_002 –>|permite| tech_T1036_008 tech_T1036_008 –>|leva_a| malware_simplehelp malware_simplehelp –>|usa| tech_T1219 malware_simplehelp –>|comunica_via| tech_T1071_001 malware_simplehelp –>|acessado_via| tech_T1133 "