Camuflagem em Camadas: Desmascarando o Loader usado em Campanhas de Email Alvo
Detection stack
- AIDR
- Alert
- ETL
- Query
Resumo
Um carregador amplamente disponível está sendo reutilizado por vários agentes de ameaça para entregar diferentes RATs e ladrões de informações através de e-mails de phishing que trazem anexos em JavaScript, PowerShell, LNK e ZIP armados. O carregador combina esteganografia, carregamento refletivo, esvaziamento de processos e um método emergente de bypass de UAC para permitir execução sem arquivo e elevar privilégios. Observou-se a atividade direcionando entidades governamentais e de manufatura pela Europa e Oriente Médio, com o aparente objetivo de roubar dados industriais e credenciais.
Investigação
A Cyble Research and Intelligence Labs analisou a cadeia de entrega e delineou um fluxo de evasão em quatro estágios. Começa com um inicializador JavaScript ofuscado, faz pivot para um carregador esteganográfico em PowerShell, abusa de uma biblioteca TaskScheduler trojanizada, e culmina com a injeção de carga útil no RegAsm.exe. O malware de estágio final é o PureLog Stealer, que coleta credenciais de navegador, dados de carteiras de criptomoeda e informações do sistema/hospedeiro para exfiltração.
Mitigação
Use proteções avançadas de e-mail com detonação em sandbox, bloqueie a execução de scripts de conteúdo entregue por e-mail, imponha o Modo de Linguagem Restringida do PowerShell e monitore o esvaziamento de binários legítimos do Windows. Adicione detecção para esteganografia em arquivos de imagem e ajuste regras de EDR para evidenciar carregamento refletivo de assemblies .NET e padrões de bypass de UAC associados a essa cadeia de carregamento.
Resposta
Se os indicadores aparecerem, isole o endpoint, pare atividades suspeitas de PowerShell e WMI, capture imagens de memória e busque por artefatos .NET refletivos e processos RegAsm.exe injetados. Redefina credenciais potencialmente expostas e bloqueie os domínios e endereços IP maliciosos associados para prevenir reinfecção e movimentação lateral.
Fluxo de Ataque
Detecções
LOLBAS WScript / CScript (via criação_de_processo)
Ver
Arquivo de Imagem Criado por Processo Suspeito (via evento_arquivo)
Ver
Strings Suspeitas do Powershell (via powershell)
Ver
Possível Arquivo de Internet Resolvido por Processo Incomum (via consulta_dns)
Ver
Chamar Métodos .NET Suspeitos do Powershell (via powershell)
Ver
Download de Arquivo Suspeito de IP Direto (via proxy)
Ver
IOCs (SourceIP) para detectar: Invisibilidade em Camadas: Revelando o Carregador usado em Campanhas de Emails Direcionados
Ver
IOCs (DestinationIP) para detectar: Invisibilidade em Camadas: Revelando o Carregador usado em Campanhas de Emails Direcionados
Ver
IOCs (HashSha256) para detectar: Invisibilidade em Camadas: Revelando o Carregador usado em Campanhas de Emails Direcionados
Ver
Detecção de PowerShell Oculto e Script Decodificado Base64 [Windows PowerShell]
Ver
Criação de Objeto WMI e Detecção de Esvaziamento de Processo [Criação de Processo Windows]
Ver
Execução de Simulação
Pré-requisito: O Verificação Preliminar de Telemetria & Referência deve ter passado.
Justificativa: Esta seção detalha a execução precisa da técnica de adversário (TTP) projetada para acionar a regra de detecção. Os comandos e a narrativa DEVEM refletir diretamente os TTPs identificados e visam gerar a telemetria exata esperada pela lógica de detecção.
-
Narrativa e Comandos de Ataque:
Um adversário envia um e-mail de spear-phishing contendo um anexo JPEG com uma carga útil PowerShell escondida esteganograficamente embutida. Depois que a vítima abre o anexo, o script de primeiro estágio do atacante extrai os dados ocultos, decodifica de Base64 e inicia um carregador PowerShell de segundo estágio em uma janela escondida. O carregador subsequentemente contata um servidor C2 para baixar ferramentas adicionais. A linha de comando exata gerada no host da vítima é:powershell -WindowStyle Hidden -EncodedCommand <Base64String>Porque o atacante inclui explicitamente a palavra “Base64” no script (por exemplo, usando o
-EncodedCommandenvoltório que imprime “Base64” em comentários), a regra de detecçãoseleção_script_decodificado_base64a condição coincide, e a marca da janela oculta satisfazseleção_powershell_oculto. -
Script de Teste de Regressão:
# Simulação de carregador Base64 PowerShell oculto # ------------------------------------------------- # Etapa 1: Criar um script PowerShell de teste $script = 'Write-Host "Host comprometido: $env:COMPUTERNAME"; Start-Sleep -Seconds 30' # Etapa 2: Codificar em Base64 (Unicode) $bytes = [System.Text.Encoding]::Unicode.GetBytes($script) $b64 = [Convert]::ToBase64String($bytes) # Etapa 3: Iniciar PowerShell oculto com a carga codificada Start-Process -FilePath "powershell.exe" ` -ArgumentList "-WindowStyle Hidden -EncodedCommand $b64" ` -WindowStyle Hidden ` -NoNewWindow # A presença da string "Base64" no comentário satisfaz a regra. -
Comandos de Limpeza:
# Encerrar quaisquer instâncias ocultas de PowerShell remanescentes iniciadas pelo teste Get-Process -Name "powershell" | Where-Object { $_.StartInfo.Arguments -match "-WindowStyle Hidden" } | Stop-Process -Force # Opcional: Remover quaisquer arquivos temporários (nenhum criado neste script)