Seguir 
Detection stack
- AIDR
- Alert
- ETL
- Query
Resumo
Um sofisticado infostealer baseado em Rust está sendo disseminado através de um instalador falso do OpenClaw. O dropper inicial, monitorado como Hologram, aplica várias técnicas de evasão de sandbox antes de implantar um implante modular de seis componentes. A operação também abusa de plataformas legítimas como Azure DevOps, Telegram e Hookdeck para comando e controle e entrega de dead-drop. Seu principal objetivo é roubar credenciais de extensões de navegador de carteiras de criptomoedas e gerenciadores de senhas.
Investigação
O Netskope Threat Labs examinou duas ondas de campanha, Hologram e Pathfinder, e mapeou toda a cadeia de infecção desde o instalador fraudulento até os módulos finais de roubo de credenciais. Sua análise revelou verificações anti-VM, um requisito de movimentação do mouse, um executor do PowerShell que desativa o Microsoft Defender, e vários métodos de persistência, incluindo chaves de Run, um Winlogon userinit redirecionamento, tarefas agendadas e sequestro de COM. Os pesquisadores também observaram frequentes mudanças de infraestrutura entre domínios, canais do Telegram e webhooks do Hookdeck.
Mitigação
Os defensores devem bloquear downloads do falso instalador do OpenClaw e monitorar o grande arquivo PE Rust de 130 MB associado à campanha. As equipes de segurança também devem detectar a criação do atalho OneDriveSync.lnk na pasta de Inicialização e monitorar modificações no registro envolvendo Winlogon userinit. O acesso de saída para Azure DevOps, API do Telegram e endpoints do Hookdeck deve ser rigorosamente controlado em sistemas não destinados a desenvolvedores. Regras de firewall também devem impedir conexões de entrada nas portas 56001 até 57002.
Resposta
Se a ameaça for detectada, isole o ponto de extremidade afetado imediatamente, colete os binários descartados e arquivos relacionados, e realize uma análise forense das mudanças no registro e artefatos de tarefa agendada. Quaisquer tokens do Azure DevOps expostos devem ser revogados, e credenciais de bot do Telegram comprometidas devem ser rotacionadas. O conteúdo de detecção deve então ser atualizado para incluir o mutex observado, nomes de arquivos e indicadores de rede. As partes interessadas relevantes devem ser informadas e considerar o reporte ao CERT ou aos provedores de serviço impactados.
"graph TB %% Class definitions classDef technique fill:#ffcc99 classDef action fill:#99ccff classDef tool fill:#cccccc classDef file fill:#ffe699 classDef process fill:#ff9999 classDef shortcut fill:#c2f0c2 classDef registry fill:#c2d6f0 classDef scheduled fill:#f0c2c2 classDef c2 fill:#d9c2f0 %% Node definitions file_openclaw["<b>Arquivo</b>: OpenClaw_x64.exe<br/><b>Tipo</b>: Instalador falso"] class file_openclaw file initial_access["<b>Técnica</b> – <b>T1204.002 Execução pelo Usuário: Arquivo Malicioso</b><br/><b>Descrição</b>: A vítima executa instalador malicioso a partir de openclawu2011installer.com"] class initial_access technique defense_evasion_vm["<b>Técnica</b> – <b>T1497.002 Evasão de Virtualização/Sandbox: Verificações Baseadas em Atividades do Usuário</b><br/><b>Descrição</b>: O dropper verifica VM, impressões digitais de hardware e aguarda o movimento do mouse"] class defense_evasion_vm technique defense_evasion_firewall["<b>Técnica</b> – <b>T1562.004 Deteriorar Defesas: Desativar ou Modificar Firewall</b><br/><b>Descrição</b>: PowerShell desativa o Windows Defender e abre portas de entrada 56001u201157002"] class defense_evasion_firewall technique tool_powershell["<b>Ferramenta</b>: PowerShell<br/><b>Descrição</b>: Executa scripts para desativar componentes de segurança"] class tool_powershell tool execution_reflective["<b>Técnica</b> – <b>T1620 Carregamento de Código Reflexivo</b><br/><b>Descrição</b>: Binários do estágio descriptografado executados na memória via memexec"] class execution_reflective technique execution_injection["<b>Técnica</b> – <b>T1055.002 Injeção de Processo: Injeção de Executável Portátil</b><br/><b>Descrição</b>: svc_service.exe injeta cargas úteis usando chamadas de sistema NT diretas"] class execution_injection technique process_svc["<b>Processo</b>: svc_service.exe<br/><b>Descrição</b>: Hospeda CLR e realiza injeção"] class process_svc process persistence_shortcut["<b>Técnica</b> – <b>T1547.009 Modificação de Atalho</b><br/><b>Descrição</b>: Atalho LNK colocado na pasta de Inicialização"] class persistence_shortcut technique file_shortcut["<b>Arquivo</b>: OneDriveSync.lnk<br/><b>Localização</b>: Pasta de Inicialização"] class file_shortcut shortcut persistence_hijack["<b>Técnica</b> – <b>T1574 Sequestro do Fluxo de Execução</b><br/><b>Descrição</b>: Alterações no registro para WinLogon Userinit, sequestro de COM, criação de tarefa agendada"] class persistence_hijack technique node_registry["<b>Registro</b>: Modificação do WinLogon Userinit<br/><b>Ação</b>: Altera a ordem de execução"] class node_registry registry node_task["<b>Tarefa Agendada</b>: Tarefa de logon<br/><b>Ação</b>: Executa carga útil no logon do usuário"] class node_task scheduled c2_dead_drop["<b>Técnica</b> – <b>T1102.001 Serviço Web: Resolver Dead Drop</b><br/><b>Descrição</b>: Recupera domínio C2 da descrição do canal do Telegram"] class c2_dead_drop technique c2_telegram["<b>Canal C2</b>: Descrição do Telegram"] class c2_telegram c2 c2_bidirectional["<b>Técnica</b> – <b>T1102.002 Serviço Web: Comunicação Bidirecional</b><br/><b>Descrição</b>: Comunica-se via retransmissão de webhook do Hookdeck e API do Bot do Telegram"] class c2_bidirectional technique tool_hookdeck["<b>Ferramenta</b>: retransmissão de webhook do Hookdeck<br/><b>Descrição</b>: Retransmite solicitações HTTP"] class tool_hookdeck tool tool_telegram_bot["<b>Ferramenta</b>: API do Bot do Telegram<br/><b>Descrição</b>: Fornece mensagens bidirecionais"] class tool_telegram_bot tool %% Connections file_openclaw –>|aciona| initial_access initial_access –>|leva a| defense_evasion_vm defense_evasion_vm –>|leva a| defense_evasion_firewall defense_evasion_firewall –>|executado por| tool_powershell defense_evasion_firewall –>|leva a| execution_reflective execution_reflective –>|carrega em| process_svc process_svc –>|realiza| execution_injection execution_injection –>|cria| file_shortcut file_shortcut –>|habilita| persistence_shortcut persistence_shortcut –>|suporta| persistence_hijack persistence_hijack –>|modifica| node_registry persistence_hijack –>|cria| node_task persistence_hijack –>|obtém| c2_dead_drop c2_dead_drop –>|fonte| c2_telegram c2_dead_drop –>|usa| c2_bidirectional c2_bidirectional –>|retransmite via| tool_hookdeck c2_bidirectional –>|comunica-se via| tool_telegram_bot "
Fluxo de Ataque
Detecções
Possíveis Pontos de Persistência [ASEPs – Software/NTUSER Hive] (via evento de registro)
Visualizar
Execução Suspeita do Perfil de Usuário Público (via criação de processo)
Visualizar
Desativar Monitoramento em Tempo Real do Windows Defender e Outras Alterações de Preferências (via cmdline)
Visualizar
Binários/Scripts Suspeitos em Local de Inicialização Automática (via evento de arquivo)
Visualizar
Arquivos Suspeitos no Perfil de Usuário Público (via evento de arquivo)
Visualizar
Possível Abuso do Telegram como Canal de Comando e Controle (via consulta DNS)
Visualizar
IOCs (HashSha256) para detectar: Hologram do OpenClaw: Instalador Falso Envia Infostealer Rust
Visualizar
IOCs (SourceIP) para detectar: Hologram do OpenClaw: Instalador Falso Envia Infostealer Rust
Visualizar
IOCs (DestinationIP) para detectar: Hologram do OpenClaw: Instalador Falso Envia Infostealer Rust
Visualizar
Detectar Carga Útil do PowerShell Ofuscada e Manipulações de Firewall [Windows Powershell]
Visualizar
Detecção do Instalador Malicioso OpenClaw Entregando Estrutura Modular [Criação de Processo no Windows]
Visualizar
Execução de Simulação
Pré-requisito: A Verificação Pré-voo de Telemetria e Linha de Base deve ter sido aprovada.
Justificativa: Esta seção detalha a execução precisa da técnica do adversário (TTP) projetada para acionar a regra de detecção. Os comandos e a narrativa refletem diretamente os TTPs identificados e visam gerar exatamente a telemetria esperada pela lógica de detecção.
-
Narrativa e Comandos do Ataque:
Um adversário obtém o instalador falso malicioso do OpenClaw (
OpenClaw_x64.exe).
O usuário, acreditando ser uma ferramenta de carteira legítima, executa o instalador (T1204).
O instalador imediatamente inicia uma única linha de comando que gera os seis binários de payload maliciosos de uma só vez, permitindo que ele contorne as heurísticas de sandbox e estabeleça uma estrutura de implantes modular (T1027.009, T1608.001, T1546.016, T1127).A linha de comando exata esperada pela regra é:
OpenClaw_x64.exe svc_service.exe virtnetwork.exe onedrive_sync.exe audioeq.exe WinHealhCare.exe OneSync.exe -
Script de Teste de Regressão:
# ------------------------------------------------- # Script de simulação – aciona a detecção do OpenClaw # ------------------------------------------------- $installerPath = "C:TempOpenClaw_x64.exe" # Garanta que o instalador fictício exista (crie um espaço reservado inofensivo) if (-not (Test-Path $installerPath)) { New-Item -ItemType File -Path $installerPath -Force | Out-Null } # Construa a lista de argumentos contendo todos os seis nomes de payload $payloads = @( "svc_service.exe", "virtnetwork.exe", "onedrive_sync.exe", "audioeq.exe", "WinHealhCare.exe", "OneSync.exe" ) $argString = $payloads -join " " # Inicie o instalador com a linha de comando maliciosa completa Write-Host "Iniciando instalador malicioso..." Start-Process -FilePath $installerPath -ArgumentList $argString -NoNewWindow # Aguarde alguns segundos para permitir que o Sysmon/Segurança registre o evento Start-Sleep -Seconds 5 Write-Host "Simulação completa. Verifique SIEM para alerta." -
Comandos de Limpeza:
# ------------------------------------------------- # Script de limpeza – remove artefatos criados para o teste # ------------------------------------------------- $installerPath = "C:TempOpenClaw_x64.exe" if (Test-Path $installerPath) { Remove-Item -Path $installerPath -Force } # Opcionalmente encerre quaisquer processos de payload fictícios remanescentes (eles são apenas espaços reservados) Get-Process -Name "svc_service","virtnetwork","onedrive_sync","audioeq","WinHealhCare","OneSync" -ErrorAction SilentlyContinue | Stop-Process -Force Write-Host "Limpeza finalizada."