Site de Trading Falso Instala Malware que Sequestra Navegadores

Ruslan Mikhalov Chefe de Pesquisa de Ameaças na SOC Prime

Seguir

Site de Trading Falso Instala Malware que Sequestra Navegadores

Detection stack

AIDR
Alert
ETL
Query

Relatório de Ameaça
Fluxo de Ataque
Detecções
Simulações

Resumo

Um site fraudulento que anuncia um assistente de negociação com IA está sendo usado para espalhar o infostealer Needle Stealer. A cadeia de infecção depende de DLL hijacking e process hollowing para injetar o malware em RegAsm.exe, ajudando-o a se misturar com a atividade legítima do sistema. Uma vez ativo, o stealer coleta dados de navegador, mira em informações de carteiras de criptomoedas e pode implantar extensões maliciosas no navegador para aprofundar o comprometimento. A comunicação com a infraestrutura controlada pelo invasor é feita por meio de múltiplos endpoints de API HTTP.

Investigação

Pesquisadores rastrearam o fluxo de infecção de volta para um arquivo ZIP baixado de tradingclaw.pro, que continha um carregador de DLL chamado iviewers.dll. Esse carregador descartou uma DLL de segunda fase que esvaziou RegAsm.exe e lançou o Needle Stealer baseado em Golang. Análises adicionais mostraram que o stealer extraía arquivos ZIP ocultos contendo extensões de navegador maliciosas junto com um arquivo de configuração que definia seus servidores de comando e controle.

Mitigação

Os usuários devem evitar baixar software de sites não confiáveis e sempre verificar assinaturas de editor antes de executar qualquer instalador. As equipes de segurança devem auditar rotineiramente as extensões de navegador instaladas e remover aquelas que parecem não autorizadas ou suspeitas. O monitoramento de rede deve ser configurado para detectar tráfego para os domínios e endereços IP maliciosos conhecidos associados à campanha. Ferramentas de proteção de endpoint também devem ser ajustadas para identificar comportamento de DLL hijacking e técnicas de process hollowing.

Resposta

Os defensores devem revisar a telemetria do endpoint para execução de iviewers.dll e sinais de injeção em RegAsm.exe. Os domínios e endereços IP de comando e controle identificados devem ser bloqueados no nível do firewall ou proxy. As equipes de segurança devem colocar em quarentena arquivos que correspondam aos hashes ou nomes de arquivos relatados, remover extensões suspeitas de %LOCALAPPDATA%PackagesExtensions, e resetar credenciais ligadas a contas afetadas. Quaisquer carteiras de criptomoedas potencialmente impactadas também devem ser revisadas para atividades não autorizadas.

"graph TB %% Class definitions classDef action fill:#99ccff classDef malware fill:#ff9999 classDef process fill:#ccccff %% Nodes step_a["Ação – T1659 Injeção de Conteúdo Usuário visita o site malicioso TradingClaw para obter conteúdo malicioso. Descrição: Adversários injetam conteúdo malicioso em um site legítimo para entregar cargas úteis."] class step_a action step_b["Ação – T1204.001 Link Malicioso Usuário clica e baixa um arquivo ZIP malicioso. Descrição: Usuário é enganado para clicar em um link malicioso que leva ao roubo de credenciais ou download de outras cargas úteis."] class step_b action step_c["Ação – Múltiplas técnicas Mascaramento T1036.001: iviewers.dll imita arquivo legítimo. Subverter Controles de Confiança T1553.002: Contornar confiança sequestrando DLL. Execução de Proxy de Binário de Sistema T1218: Uso de binário de sistema para execução. Execução de Proxy de Utilitários de Desenvolvedores Confiáveis T1127: Abuso de utilitários confiáveis. Carregamento de Código Refletivo T1620: Carregar código sem tocar no disco. Descrição: DLL hijacking via iviewers.dll para executar código malicioso."] class step_c action step_d["Injeção de Processo – T1055.012 Process Hollowing Código malicioso injetado no processo RegAsm.exe. Descrição: Adversário cria um processo oco e insere a carga maliciosa."] class step_d process step_e["Malware – Núcleo do Needle Stealer Coleta dados da vítima após execução."] class step_e malware step_f["Acesso a Credenciais – T1115 Dados da Área de Transferência Coleta conteúdo da área de transferência. Descrição: Captura dados copiados na área de transferência, como senhas."] class step_f action step_g["Captura de Entrada – T1056 Captura de Entrada Captura entradas digitadas em formulários. Descrição: Registra pressionamentos de tecla ou campos de formulário para roubar credenciais."] class step_g action step_h["Acesso a Credenciais – Múltiplas técnicas Descoberta de Informação de Navegador T1217: Enumera navegadores instalados. Credenciais de Navegadores Web T1555.003: Extrai senhas salvas. Cookie de Sessão Web T1550.004: Lê cookies de sessão. Rouba Cookie de Sessão Web T1539: Exfiltra cookies. Forjar Credenciais Web T1606: Cria credenciais forjadas. Descrição: Rouba dados de navegador, credenciais e cookies."] class step_h action step_i["Persistência – T1176 Extensões de Software Instala extensão maliciosa no navegador. Descrição: Extensão persiste no navegador e pode modificar o tráfego."] class step_i action step_j["Ação – Extensão manipula tráfego Redireciona solicitações, substitui downloads, injeta scripts."] class step_j action step_k["Comando e Controle – Múltiplas técnicas Codificação de Dados T1132.001: Codifica dados antes da exfiltração. Exfiltração por Canal C2 T1041: Envia dados através de C2. Descrição: Comunica dados roubados para servidor remoto."] class step_k action %% Connections step_a –>|leads_to| step_b step_b –>|leads_to| step_c step_c –>|leads_to| step_d step_d –>|leads_to| step_e step_e –>|collects| step_f step_e –>|collects| step_g step_e –>|collects| step_h step_e –>|installs| step_i step_i –>|enables| step_j step_j –>|communicates| step_k "

Fluxo de Ataque

Narrativa de Ataque & Comandos:
Um adversário que obteve o malware Needle Stealer o hospeda no domínio malicioso tradingclaw.pro. O atacante persuade uma vítima a abrir um link malicioso (por exemplo, via email de phishing). O navegador da vítima faz uma solicitação HTTP GET para http://tradingclaw.pro/stealer.exe, que os registros do proxy. Como o URL contém a string exata tradingclaw.pro, a condição da regra Sigma (url|contains) avalia-se como verdadeiro, gerando um alerta.

Para replicar isso em um ambiente de teste, emitimos um curl direto para o domínio malicioso. A solicitação é elaborada para se parecer com tráfego de usuário típico (User‑Agent padrão, sem cabeçalhos especiais) para que apenas a correspondência de domínio acione o alerta.

Script de Teste de Regressão:

#!/usr/bin/env bash
# ------------------------------------------------------------
# Simular acesso malicioso para acionar a regra de detecção "Malicious TradingClaw"
# ------------------------------------------------------------

set -euo pipefail

# Defina os URLs maliciosos (strings exatas usadas pela regra)
URLS_MALICIOSOS=(
    "http://tradingclaw.pro/stealer.exe"
    "https://studypages.com/download/needle.exe"
)

for url in "${URLS_MALICIOSOS[@]}"; do
    echo "[*] Solicitando ${url}"
    # Use um user‑agent realista para imitar um navegador
    curl -A "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/124.0 Safari/537.36" 
         -s -o /dev/null "${url}"
done

echo "[+] Simulação concluída."

Comandos de Limpeza:

# Nenhum artefato persistente é criado pelas solicitações curl.
# Limpe o cache DNS para evitar reutilização acidental do domínio em testes futuros.
if command -v ipconfig >/dev/null 2>&1; then
    ipconfig /flushdns
elif command -v systemd-resolve >/dev/null 2>&1; then
    systemd-resolve --flush-caches
fi
echo "[+] Limpeza concluída."

Fim do Relatório

Junte-se à plataforma Detection as Code da SOC Prime para melhorar a visibilidade das ameaças mais relevantes para o seu negócio. Para ajudá-lo a começar e gerar valor imediato, agende uma reunião agora com os especialistas da SOC Prime.

Cadastre-se Gratuitamente