SOC Prime Bias: Crítico

13 Jan 2026 14:22 UTC

Malware Disfarçado como Arquivos de Vídeo Usando Ferramentas RMM (Syncro, SuperOps, NinjaOne, etc.)

Author Photo
Ruslan Mikhalov Chief of Threat Research at SOC Prime linkedin icon Seguir
Malware Disfarçado como Arquivos de Vídeo Usando Ferramentas RMM (Syncro, SuperOps, NinjaOne, etc.)
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Resumo

Os agentes de ameaça estão usando iscas de PDF maliciosas para direcionar os usuários a páginas falsas do Google Drive que anunciam downloads de “vídeo”. Em vez de arquivos de mídia, os sites entregam instaladores RMM assinados — incluindo ferramentas como Syncro, ScreenConnect, NinjaOne e SuperOps — que fornecem aos atacantes acesso remoto confiável e persistência em endpoints comprometidos.

Investigação

AhnLab observou atividade de phishing baseada em PDF usando nomes de arquivos como Invoice_Details.PDF e redirecionando vítimas para domínios como adobe-download-pdf.com ou um portal de drivegoogle.com semelhante. Os instaladores RMM entregues foram assinados com um certificado reutilizado e incluíam parâmetros de instalação (por exemplo, uma chave e ID de cliente) consistentes com implantações em estágios ou automatizadas. Os instaladores foram produzidos usando frameworks comuns de empacotamento, como Advanced Installer ou NSIS e, em alguns casos, atuavam como um bootstrapper para recuperar cargas adicionais após a execução.

Mitigação

Limite ou bloqueie a execução de ferramentas RMM não autorizadas, incluindo binários que não são assinados ou inesperadamente assinados, e aplique controles mais rígidos para a instalação de software de acesso remoto. Aplique uma inspeção rigorosa de anexos de e-mail para detectar iscas em PDF e comportamentos de redirecionamento suspeitos, e bloqueie domínios maliciosos conhecidos nas camadas de gateway e proxy. Verifique certificados de assinatura de código e detalhes do editor antes de permitir a instalação, mantenha produtos RMM aprovados atualizados e restrinja seu uso a administradores explicitamente autorizados.

Resposta

Alerta quando instaladores RMM executam de fontes não confiáveis e quando endpoints acessam os nomes de arquivo, URLs ou padrões de redirecionamento identificados. Isole hosts impactados, colete artefatos dos instaladores e telemetria de execução, e realize triagem forense para identificar quaisquer cargas secundárias baixadas após a instalação. Remova o agente RMM desonesto, redefina credenciais potencialmente expostas e expanda a caça para tentativas de implantação de RMM relacionadas em todo o ambiente.

Fluxo de Ataque

Execução de Simulação

Pré-requisito: O Pré-verificação de Telemetria & Baseline deve ter passado.

Justificativa: Esta seção detalha a execução precisa da técnica do adversário (TTP) projetada para acionar a regra de detecção. Os comandos e narrativa DEVEM refletir diretamente os TTPs identificados e visam gerar a telemetria exata esperada pela lógica de detecção. Exemplos abstratos ou não relacionados levarão a diagnósticos incorretos.

  • Narrativa de Ataque & Comandos:

    1. Entrega de Phishing: O adversário envia um e-mail de spear‑phishing com um PDF malicioso intitulado “Invoice #12345.pdf”. O PDF contém uma carga de JavaScript maliciosa que, quando aberta, solta Syncro.exe em %TEMP%.

    2. Execução: A carga executa um comando PowerShell para ignorar a política de execução e lançar o binário:

      powershell -NoP -W Hidden -Exec Bypass -Command "Start-Process -FilePath "$env:TEMPSyncro.exe" -ArgumentList '/silent'"
    3. Telemetria Resultante: O Windows registra um Evento ID 4688 com Imagem = C:Users<usuário>AppDataLocalTempSyncro.exe, correspondendo à regra Sigma Imagem|endswith: 'Syncro.exe'. O alerta é gerado com Alta gravidade.

  • Script de Teste de Regressão: O seguinte script reproduz o comportamento exato em um ambiente de laboratório controlado. Ele copia um binário RMM conhecido (para fins de teste) para o diretório temporário e o executa com um sinalizador benigno, garantindo que o mesmo evento de criação de processo seja emitido.

    # -------------------------------------------------
    # Script de Simulação – Disparar Regra de Processo da Ferramenta RMM
    # -------------------------------------------------
    # Pré-requisitos:
    #   - Uma cópia de Syncro.exe colocada em C:Tools (binário legítimo para teste)
    #   - Direitos administrativos para escrever em %TEMP%
    # -------------------------------------------------
    
    $src  = "C:ToolsSyncro.exe"
    $dest = "$env:TEMPSyncro.exe"
    
    Write-Host "[*] Copiando binário RMM para local temporário..."
    Copy-Item -Path $src -Destination $dest -Force
    
    Write-Host "[*] Executando o binário para gerar telemetria de criação de processo..."
    Start-Process -FilePath $dest -ArgumentList '/silent' -WindowStyle Hidden
    
    Write-Host "[+] Execução completa. Verifique a detecção no SIEM."
    # -------------------------------------------------
  • Comandos de Limpeza: Remova o binário de teste e termine quaisquer processos remanescentes.

    # Termine quaisquer processos de Syncro remanescentes
    Get-Process -Name "Syncro" -ErrorAction SilentlyContinue | Stop-Process -Force
    
    # Delete a cópia temporária
    Remove-Item -Path "$env:TEMPSyncro.exe" -Force -ErrorAction SilentlyContinue
    
    Write-Host "[*] Limpeza concluída."