Malware Disfarçado como Arquivos de Vídeo Usando Ferramentas RMM (Syncro, SuperOps, NinjaOne, etc.)
Detection stack
- AIDR
- Alert
- ETL
- Query
Resumo
Os agentes de ameaça estão usando iscas de PDF maliciosas para direcionar os usuários a páginas falsas do Google Drive que anunciam downloads de “vídeo”. Em vez de arquivos de mídia, os sites entregam instaladores RMM assinados — incluindo ferramentas como Syncro, ScreenConnect, NinjaOne e SuperOps — que fornecem aos atacantes acesso remoto confiável e persistência em endpoints comprometidos.
Investigação
AhnLab observou atividade de phishing baseada em PDF usando nomes de arquivos como Invoice_Details.PDF e redirecionando vítimas para domínios como adobe-download-pdf.com ou um portal de drivegoogle.com semelhante. Os instaladores RMM entregues foram assinados com um certificado reutilizado e incluíam parâmetros de instalação (por exemplo, uma chave e ID de cliente) consistentes com implantações em estágios ou automatizadas. Os instaladores foram produzidos usando frameworks comuns de empacotamento, como Advanced Installer ou NSIS e, em alguns casos, atuavam como um bootstrapper para recuperar cargas adicionais após a execução.
Mitigação
Limite ou bloqueie a execução de ferramentas RMM não autorizadas, incluindo binários que não são assinados ou inesperadamente assinados, e aplique controles mais rígidos para a instalação de software de acesso remoto. Aplique uma inspeção rigorosa de anexos de e-mail para detectar iscas em PDF e comportamentos de redirecionamento suspeitos, e bloqueie domínios maliciosos conhecidos nas camadas de gateway e proxy. Verifique certificados de assinatura de código e detalhes do editor antes de permitir a instalação, mantenha produtos RMM aprovados atualizados e restrinja seu uso a administradores explicitamente autorizados.
Resposta
Alerta quando instaladores RMM executam de fontes não confiáveis e quando endpoints acessam os nomes de arquivo, URLs ou padrões de redirecionamento identificados. Isole hosts impactados, colete artefatos dos instaladores e telemetria de execução, e realize triagem forense para identificar quaisquer cargas secundárias baixadas após a instalação. Remova o agente RMM desonesto, redefina credenciais potencialmente expostas e expanda a caça para tentativas de implantação de RMM relacionadas em todo o ambiente.
Fluxo de Ataque
Detecções
Possível tentativa de instalação de software RMM usando MsiInstaller (via logs de aplicação)
Visualizar
Software Alternativo de Acesso / Gestão Remota (via sistema)
Visualizar
Software Alternativo de Acesso / Gestão Remota (via auditoria)
Visualizar
Software Alternativo de Acesso / Gestão Remota (via criação de processos)
Visualizar
Possível Atividade de Comando e Controle por Tentativa de Comunicação de Domínio de Software de Acesso Remoto (via dns)
Visualizar
IOCs (HashMd5) para detectar: Malware disfarçado como arquivos de vídeo usando ferramentas RMM (Syncro, SuperOps, NinjaOne, etc)
Visualizar
Uso Malicioso de Ferramentas RMM via PDF Phishing [Criação de Processos do Windows]
Visualizar
Execução de Simulação
Pré-requisito: O Pré-verificação de Telemetria & Baseline deve ter passado.
Justificativa: Esta seção detalha a execução precisa da técnica do adversário (TTP) projetada para acionar a regra de detecção. Os comandos e narrativa DEVEM refletir diretamente os TTPs identificados e visam gerar a telemetria exata esperada pela lógica de detecção. Exemplos abstratos ou não relacionados levarão a diagnósticos incorretos.
-
Narrativa de Ataque & Comandos:
-
Entrega de Phishing: O adversário envia um e-mail de spear‑phishing com um PDF malicioso intitulado “Invoice #12345.pdf”. O PDF contém uma carga de JavaScript maliciosa que, quando aberta, solta
Syncro.exeem%TEMP%. -
Execução: A carga executa um comando PowerShell para ignorar a política de execução e lançar o binário:
powershell -NoP -W Hidden -Exec Bypass -Command "Start-Process -FilePath "$env:TEMPSyncro.exe" -ArgumentList '/silent'" -
Telemetria Resultante: O Windows registra um Evento ID 4688 com
Imagem = C:Users<usuário>AppDataLocalTempSyncro.exe, correspondendo à regra SigmaImagem|endswith: 'Syncro.exe'. O alerta é gerado com Alta gravidade.
-
-
Script de Teste de Regressão: O seguinte script reproduz o comportamento exato em um ambiente de laboratório controlado. Ele copia um binário RMM conhecido (para fins de teste) para o diretório temporário e o executa com um sinalizador benigno, garantindo que o mesmo evento de criação de processo seja emitido.
# ------------------------------------------------- # Script de Simulação – Disparar Regra de Processo da Ferramenta RMM # ------------------------------------------------- # Pré-requisitos: # - Uma cópia de Syncro.exe colocada em C:Tools (binário legítimo para teste) # - Direitos administrativos para escrever em %TEMP% # ------------------------------------------------- $src = "C:ToolsSyncro.exe" $dest = "$env:TEMPSyncro.exe" Write-Host "[*] Copiando binário RMM para local temporário..." Copy-Item -Path $src -Destination $dest -Force Write-Host "[*] Executando o binário para gerar telemetria de criação de processo..." Start-Process -FilePath $dest -ArgumentList '/silent' -WindowStyle Hidden Write-Host "[+] Execução completa. Verifique a detecção no SIEM." # ------------------------------------------------- -
Comandos de Limpeza: Remova o binário de teste e termine quaisquer processos remanescentes.
# Termine quaisquer processos de Syncro remanescentes Get-Process -Name "Syncro" -ErrorAction SilentlyContinue | Stop-Process -Force # Delete a cópia temporária Remove-Item -Path "$env:TEMPSyncro.exe" -Force -ErrorAction SilentlyContinue Write-Host "[*] Limpeza concluída."