Falsos “E-mails Seguros” Entregam Arquivos Maliciosos Posando como Empresas de Cartão de Crédito
Detection stack
- AIDR
- Alert
- ETL
- Query
Resumo
A AhnLab descobriu uma campanha de phishing que entrega arquivos LNK maliciosos disfarçados como notificações de email seguro de um grande provedor de cartão de crédito coreano. Quando aberto, o atalho lança um HTA através de mshta.exe e PowerShell, depois baixa cargas adicionais que mudam dependendo se o Windows Defender está ativado. Se o Defender estiver ativo, os atacantes usam curl para recuperar arquivos criptografados que são posteriormente descompactados e executados. Se o Defender estiver desativado, a cadeia muda para carregamento direto de DLL e atividade adicional de downloader. O malware resultante suporta roubo de informações, keylogging, coleta de área de transferência e capacidades de backdoor.
Investigação
A investigação mostrou que o arquivo LNK inicial lança mshta.exe, que executa um HTA contendo VBScript ofuscado. Esse HTA baixa pipe.zip, que inclui scripts codificados em Base64 nomeados 1.log, 1.ps1, e 2.log, todos os quais são decodificados e executados na memória. Quando o Defender está inativo, o malware em vez disso baixa user.txt and sys.log, decripta sys.log em sys.dll, e a executa através de rundll32. Análise do user.txt decriptado expôs três URLs do Google Drive usadas para buscar arquivos maliciosos adicionais, incluindo notepad.log, net, e app, que são armazenados em %LOCALAPPDATA%.
Mitigação
Defesas recomendadas incluem verificar a legitimidade dos anexos de email, impedir a execução automática de arquivos LNK e monitorar o uso suspeito de mshta.exe and curl. As equipes de segurança também devem procurar e remover arquivos como 1.log, 1.ps1, 2.log, notepad.log, net, e app de %TEMP% and %LOCALAPPDATA%. Além disso, os defensores devem inspecionar o sistema em busca de alterações inesperadas no registro e garantir que o Windows Defender ou outra plataforma de proteção de endpoint permaneça ativada e devidamente configurada.
Resposta
Se esta atividade for detectada, isole o sistema afetado imediatamente, termine qualquer mshta.exe, curl, ou rundll32 processos executando arquivos desconhecidos, e preserve os artefatos maliciosos para análise forense. Realize uma varredura completa do sistema, redefina quaisquer credenciais potencialmente expostas e monitore para atividade de backdoor subsequente ligada a notepad.log. O conteúdo de detecção também deve ser atualizado com os indicadores de compromisso observados, e os controles de segurança de email devem ser reforçados para bloquear iscas de phishing semelhantes no futuro.
Fluxo de Ataque
Detecções
Possível Execução pelo Uso de Nome de Script Curto (via cmdline)
Ver
Comportamento Suspeito de Evasão de Defesa LOLBAS MSHTA pela Detecção de Comandos Associados (via process_creation)
Ver
Possível Infiltração/Exfiltração de Dados / C2 via Serviços/Ferramentas de Terceiros (via proxy)
Ver
Possível Infiltração/Exfiltração de Dados / C2 via Serviços/Ferramentas de Terceiros (via dns)
Ver
Execução de Rundll32 com sys.dll em Ambientes com Windows Defender Desativado [Criação de Processo do Windows]
Ver
Arquivo LNK Malicioso com Execução de Comando mshta [Windows Powershell]
Ver
Execução de Simulação
Pré-requisito: O Verificação de Telemetria & Baseline Pre‑flight Check deve ter passado.
-
Narrativa do Ataque & Comandos:
Um adversário obteve uma posição na endpoint e deseja executar código arbitrário enquanto evita o controle tradicional de aplicação. Eles criam um arquivo HTA malicioso contendo VBScript ofuscado que, quando renderizado, grava um backdoor em PowerShell no disco. Para lançar o HTA, eles usam um atalho do Windows (.lnk) que chamapowershell.execom um comando que invocamshta.exe. Executar o atalho aciona a cadeia PowerShell →mshta, produzindo a telemetria exata que a regra monitora. -
Script de Teste de Regressão:
# ------------------------------------------------- # 1. Criar HTA malicioso com VBScript ofuscado # ------------------------------------------------- $htaPath = "$env:TEMPevil.hta" $vbscript = @" <script language='VBScript'> ' Payload VBScript ofuscado (exemplo: escrever um arquivo) Dim fso, f Set fso = CreateObject("Scripting.FileSystemObject") Set f = fso.CreateTextFile("C:WindowsTemppwned.txt", True) f.WriteLine "Comprometido por ATT&CK" f.Close </script> "@ Set-Content -Path $htaPath -Value $vbscript -Encoding ASCII # ------------------------------------------------- # 2. Criar um atalho (.lnk) que executa PowerShell → mshta # ------------------------------------------------- $lnkPath = "$env:TEMPlaunch_malicious.lnk" $ws = New-Object -ComObject WScript.Shell $shortcut = $ws.CreateShortcut($lnkPath) # Comando PowerShell que lança mshta com o arquivo HTA $psCommand = "mshta.exe `"$htaPath`"" $shortcut.TargetPath = "C:WindowsSystem32WindowsPowerShellv1.0powershell.exe" $shortcut.Arguments = "-NoProfile -WindowStyle Hidden -Command `"$psCommand`"" $shortcut.Save() # ------------------------------------------------- # 3. Execute o atalho para acionar a detecção # ------------------------------------------------- Write-Host "Executando atalho malicioso..." & $lnkPath # ------------------------------------------------- # 4. Pausar para permitir a coleta de logs # ------------------------------------------------- Start-Sleep -Seconds 10 -
Comandos de Limpeza:
# Remover artefatos criados Remove-Item -Path "$env:TEMPevil.hta" -Force -ErrorAction SilentlyContinue Remove-Item -Path "$env:TEMPlaunch_malicious.lnk" -Force -ErrorAction SilentlyContinue Remove-Item -Path "C:WindowsTemppwned.txt" -Force -ErrorAction SilentlyContinue Write-Host "Limpeza completa."