Seguir 
Detection stack
- AIDR
- Alert
- ETL
- Query
Resumo
A AhnLab descobriu uma campanha de phishing que entrega arquivos LNK maliciosos disfarçados como notificações de email seguro de um grande provedor de cartão de crédito coreano. Quando aberto, o atalho lança um HTA através de mshta.exe e PowerShell, depois baixa cargas adicionais que mudam dependendo se o Windows Defender está ativado. Se o Defender estiver ativo, os atacantes usam curl para recuperar arquivos criptografados que são posteriormente descompactados e executados. Se o Defender estiver desativado, a cadeia muda para carregamento direto de DLL e atividade adicional de downloader. O malware resultante suporta roubo de informações, keylogging, coleta de área de transferência e capacidades de backdoor.
Investigação
A investigação mostrou que o arquivo LNK inicial lança mshta.exe, que executa um HTA contendo VBScript ofuscado. Esse HTA baixa pipe.zip, que inclui scripts codificados em Base64 nomeados 1.log, 1.ps1, e 2.log, todos os quais são decodificados e executados na memória. Quando o Defender está inativo, o malware em vez disso baixa user.txt and sys.log, decripta sys.log em sys.dll, e a executa através de rundll32. Análise do user.txt decriptado expôs três URLs do Google Drive usadas para buscar arquivos maliciosos adicionais, incluindo notepad.log, net, e app, que são armazenados em %LOCALAPPDATA%.
Mitigação
Defesas recomendadas incluem verificar a legitimidade dos anexos de email, impedir a execução automática de arquivos LNK e monitorar o uso suspeito de mshta.exe and curl. As equipes de segurança também devem procurar e remover arquivos como 1.log, 1.ps1, 2.log, notepad.log, net, e app de %TEMP% and %LOCALAPPDATA%. Além disso, os defensores devem inspecionar o sistema em busca de alterações inesperadas no registro e garantir que o Windows Defender ou outra plataforma de proteção de endpoint permaneça ativada e devidamente configurada.
Resposta
Se esta atividade for detectada, isole o sistema afetado imediatamente, termine qualquer mshta.exe, curl, ou rundll32 processos executando arquivos desconhecidos, e preserve os artefatos maliciosos para análise forense. Realize uma varredura completa do sistema, redefina quaisquer credenciais potencialmente expostas e monitore para atividade de backdoor subsequente ligada a notepad.log. O conteúdo de detecção também deve ser atualizado com os indicadores de compromisso observados, e os controles de segurança de email devem ser reforçados para bloquear iscas de phishing semelhantes no futuro.
graph TB %% Class definitions classDef action fill:#99ccff classDef operator fill:#ff9900 classDef builtin fill:#cccccc %% Nodes initial_user_exec[“<b>Técnica</b> – <b>T1204.002 Execução pelo usuário: Arquivo malicioso</b><br/>A vítima abre um arquivo .lnk disfarçado de e-mail seguro de uma empresa de cartão de crédito.”] class initial_user_exec action exec_mshta[“<b>Técnica</b> – <b>T1218.005 Execução proxy de binário do sistema: Mshta</b><br/>O LNK executa PowerShell, que aciona mshta.exe para buscar um HTA remoto com VBScript ofuscado.”] class exec_mshta action exec_powershell[“<b>Técnica</b> – <b>T1059.001 Interpretador de comandos: PowerShell</b><br/>PowerShell baixa cargas adicionais via curl.”] class exec_powershell action masquerade[“<b>Técnica</b> – <b>T1036.008 Mascaramento: Tipo de arquivo disfarçado</b><br/>O arquivo LNK se disfarça como e-mail seguro.”] class masquerade action obfuscate[“<b>Técnica</b> – <b>T1027 Informações ofuscadas</b><br/>Cargas criptografadas com AES e codificadas em Base64; ícone embutido no LNK.”] class obfuscate action sandbox_evasion[“<b>Técnica</b> – <b>T1497.002 Evasão de sandbox: verificações baseadas em atividade do usuário</b><br/>O malware verifica o status do Windows Defender.”] class sandbox_evasion action cond_defender[“<b>Operador</b> – Condição AND baseada no status do Defender”] class cond_defender operator defender_on[“<b>Condição</b> – Defender ativado”] class defender_on action defender_off[“<b>Condição</b> – Defender desativado”] class defender_off action download_pipe[“<b>Ação</b> – Baixa pipe.zip, descriptografa e extrai 1.log, 1.ps1, 2.log.”] class download_pipe action cred_access[“<b>Técnica</b> – <b>T1539 Sequestro de sessão do navegador</b>, <b>T1185 Cookies de sessão web</b>, <b>T1555.003 Credenciais de navegador</b><br/>Scripts realizam roubo de credenciais.”] class cred_access action collection[“<b>Técnica</b> – <b>T1056.001 Captura de entrada: keylogging</b> e <b>T1115 Dados da área de transferência</b><br/>Coleta de teclas e conteúdo da área de transferência.”] class collection action download_sys[“<b>Ação</b> – Baixa user.txt e sys.log, descriptografa sys.dll.”] class download_sys action load_rundll[“<b>Técnica</b> – <b>T1218.011 Execução proxy de binário assinado: Rundll32</b><br/>Carrega sys.dll via rundll32.”] class load_rundll action persistence_appinit[“<b>Técnica</b> – <b>T1546.010 Execução ativada por evento: AppInit DLLs</b><br/>sys.dll é usado para persistência e evasão.”] class persistence_appinit action command_control[“<b>Técnica</b> – <b>T1219 Ferramentas de acesso remoto</b><br/>notepad.log permite execução remota e exfiltração de dados.”] class command_control action clipboard_phish[“<b>Técnica</b> – <b>T1204.004 Phishing de copiar e colar</b><br/>Técnicas de phishing via clipboard.”] class clipboard_phish action %% Connections initial_user_exec –>|leva a| exec_mshta exec_mshta –>|executa| exec_powershell exec_powershell –>|habilita| masquerade masquerade –>|habilita| obfuscate obfuscate –>|habilita| sandbox_evasion sandbox_evasion –>|aciona| cond_defender cond_defender –>|se Defender ativo| defender_on cond_defender –>|se Defender inativo| defender_off defender_on –>|baixa| download_pipe download_pipe –>|contém| cred_access cred_access –>|habilita| collection defender_off –>|baixa| download_sys download_sys –>|carrega| load_rundll load_rundll –>|estabelece| persistence_appinit persistence_appinit –>|habilita| command_control command_control –>|usa| clipboard_phish
Fluxo de Ataque
Detecções
Possível Execução pelo Uso de Nome de Script Curto (via cmdline)
Ver
Comportamento Suspeito de Evasão de Defesa LOLBAS MSHTA pela Detecção de Comandos Associados (via process_creation)
Ver
Possível Infiltração/Exfiltração de Dados / C2 via Serviços/Ferramentas de Terceiros (via proxy)
Ver
Possível Infiltração/Exfiltração de Dados / C2 via Serviços/Ferramentas de Terceiros (via dns)
Ver
Execução de Rundll32 com sys.dll em Ambientes com Windows Defender Desativado [Criação de Processo do Windows]
Ver
Arquivo LNK Malicioso com Execução de Comando mshta [Windows Powershell]
Ver
Execução de Simulação
Pré-requisito: O Verificação de Telemetria & Baseline Pre‑flight Check deve ter passado.
-
Narrativa do Ataque & Comandos:
Um adversário obteve uma posição na endpoint e deseja executar código arbitrário enquanto evita o controle tradicional de aplicação. Eles criam um arquivo HTA malicioso contendo VBScript ofuscado que, quando renderizado, grava um backdoor em PowerShell no disco. Para lançar o HTA, eles usam um atalho do Windows (.lnk) que chamapowershell.execom um comando que invocamshta.exe. Executar o atalho aciona a cadeia PowerShell →mshta, produzindo a telemetria exata que a regra monitora. -
Script de Teste de Regressão:
# ------------------------------------------------- # 1. Criar HTA malicioso com VBScript ofuscado # ------------------------------------------------- $htaPath = "$env:TEMPevil.hta" $vbscript = @" <script language='VBScript'> ' Payload VBScript ofuscado (exemplo: escrever um arquivo) Dim fso, f Set fso = CreateObject("Scripting.FileSystemObject") Set f = fso.CreateTextFile("C:WindowsTemppwned.txt", True) f.WriteLine "Comprometido por ATT&CK" f.Close </script> "@ Set-Content -Path $htaPath -Value $vbscript -Encoding ASCII # ------------------------------------------------- # 2. Criar um atalho (.lnk) que executa PowerShell → mshta # ------------------------------------------------- $lnkPath = "$env:TEMPlaunch_malicious.lnk" $ws = New-Object -ComObject WScript.Shell $shortcut = $ws.CreateShortcut($lnkPath) # Comando PowerShell que lança mshta com o arquivo HTA $psCommand = "mshta.exe `"$htaPath`"" $shortcut.TargetPath = "C:WindowsSystem32WindowsPowerShellv1.0powershell.exe" $shortcut.Arguments = "-NoProfile -WindowStyle Hidden -Command `"$psCommand`"" $shortcut.Save() # ------------------------------------------------- # 3. Execute o atalho para acionar a detecção # ------------------------------------------------- Write-Host "Executando atalho malicioso..." & $lnkPath # ------------------------------------------------- # 4. Pausar para permitir a coleta de logs # ------------------------------------------------- Start-Sleep -Seconds 10 -
Comandos de Limpeza:
# Remover artefatos criados Remove-Item -Path "$env:TEMPevil.hta" -Force -ErrorAction SilentlyContinue Remove-Item -Path "$env:TEMPlaunch_malicious.lnk" -Force -ErrorAction SilentlyContinue Remove-Item -Path "C:WindowsTemppwned.txt" -Force -ErrorAction SilentlyContinue Write-Host "Limpeza completa."