Detecção do Ataque Mocha Manakin: Hackers Espalham um Backdoor Customizado em NodeJS Apelidado NodeInitRAT Usando a Técnica Paste-and-Run
Índice:
Mocha Manakin, acreditado ter ligações com ransomware Interlock operações, foi observado usando o paste-and-run phishing técnica para acesso inicial desde pelo menos janeiro de 2025. Os adversários implantam um backdoor NodeJS personalizado, chamado NodeInitRAT, que permite persistência, reconhecimento, execução de comandos e entrega de cargas úteis via HTTP, junto com outras operações ofensivas que potencialmente podem levar a ataques de ransomware.
Detectar Ataques Paste-and-Run de Mocha Manakin
Especialistas em cibersegurança têm monitorado por longos períodos como atores maliciosos utilizam PowerShell para instalar backdoors, executar scripts nocivos e perseguir objetivos ofensivos dentro da infraestrutura da organização. A contínua luta entre atacantes, defensores e analistas de segurança continua a se assemelhar a um jogo de gato e rato. A flexibilidade do PowerShell o torna indispensável para administradores de sistemas, mas igualmente atraente para adversários, complicando os esforços de detecção e tornando prioritárias as medidas defensivas. Em sua última campanha, o Mocha Manakin usa uma técnica de acesso inicial paste-and-run via PowerShell para entregar um backdoor NodeJS personalizado chamado NodeInitRAT, uma ameaça que pode escalar para ransomware, amplificando o risco para as organizações afetadas.
Registre-se na plataforma SOC Prime para obter um conjunto relevante de regras Sigma para atividade do Mocha Manakin, alimentado por uma suíte completa de produtos para engenharia de detecção movida por IA, caça ameaças automatizada e detecção de ameaças avançadas. Clique no Explorar Detecções botão e acesse o conjunto selecionado de conteúdo SOC para defesa cibernética proativa.
Todos os algoritmos de detecção podem ser usados em dezenas de soluções líderes do setor de SIEM, EDR e Data Lake e estão alinhados com MITRE ATT&CK® para acelerar a pesquisa de ameaças e ajudar as equipes de segurança em suas operações SOC diárias. Cada regra Sigma é enriquecida com metadados relevantes, como CTI links, cronogramas de ataques, configurações de auditoria, recomendações de triagem e mais referências úteis para equipar os defensores com um contexto abrangente de ameaças.
O que é o Mocha Manakin: Última Análise de Ataques
Pesquisadores da Red Canary têm observado a atividade do Mocha Manakin desde janeiro de 2025 como parte de um conjunto mais amplo de clusters adversários, aproveitando o paste-and-run para acesso inicial. Também conhecido como Clickfix ou fakeCAPTCHA, este método ofensivo engana os usuários para executar um script que recupera cargas adicionais de uma infraestrutura controlada por atacantes. Isso pode dar aos atacantes o sinal verde para implantar diversas amostras maliciosas, como LummaC2, HijackLoader, Vidar, e outros.
Este método adversário tem se mantido consistentemente prevalente e expandido em uso desde agosto de 2024. Sua popularidade sustentada se deve em grande parte à sua eficácia em enganar usuários para executarem scripts nocivos em seus dispositivos. A versatilidade dos enganos paste-and-run, distribuídos por e-mails de phishing, injeções maliciosas de navegador, e mais, permite que os adversários apresentem estes prompts enganosos a vítimas potenciais.
No entanto, o Mocha Manakin se destaca de outras campanhas similares devido ao seu uso de um backdoor personalizado baseado em NodeJS, chamado NodeInitRAT. Este último permite aos agentes de ameaça manter acesso persistente e conduzir operações de reconhecimento, incluindo a enumeração de principais de usuários e coleta de informações específicas de domínio. O NodeInitRAT se comunica via HTTP com servidores operados por atacantes, frequentemente retransmitidos por túneis Cloudflare para mascarar infraestrutura. Ele pode executar comandos arbitrários e entregar amostras de malware adicionais a hosts infectados.
Mocha Manakin compartilha várias características operacionais com campanhas de ransomware Interlock , incluindo o uso de técnicas paste-and-run para acesso inicial, a implantação do backdoor NodeInitRAT como carga útil secundária e o reaproveitamento de partes da mesma infraestrutura de atacante. Notavelmente, se não for abordada, a atividade maliciosa tem o potencial de escalar para ransomware incidentes.
Enganos paste-and-run costumam se enquadrar em duas categorias: enganos de reparo de acesso, que enganam os usuários fazendo-os pensar que devem corrigir o acesso a um arquivo ou site, e enganos de CAPTCHA falso, que incitam os usuários a verificar se são humanos para prosseguir, ambos levando à execução de comandos maliciosos. Uma vez que um usuário clica no Fix or Verificar botão dentro do engano, um comando PowerShell ofuscado é silenciosamente copiado para a área de transferência. O engano então instrui-os a seguir os chamados “passos de verificação”, seguido pelo usuário executando um script ofensivo e iniciando a invasão.
Após a execução bem-sucedida, o comando paste-and-run PowerShell do Mocha Manakin leva ao download e execução de um carregador PowerShell. Este último recupera um arquivo ZIP contendo um node.exe binário legítimo e lança o NodeInitRAT passando o código do malware via linha de comando. Uma vez ativo, o NodeInitRAT pode estabelecer persistência através de uma chave de execução do Registro do Windows, conduzir reconhecimento de sistema e domínio, comunicar-se com servidores de atacantes via HTTP, executar comandos arbitrários para enumerar controladores de domínio, trusts, administradores e SPNs, implantar cargas adicionais de EXE, DLL e JS, e ofuscar transferências de dados usando codificação XOR e compressão GZIP.
Defender-se contra ataques paste-and-run apresenta desafios, apesar da tática ser bem conhecida. MItigações incluem desativar teclas de atalho do Windows (por exemplo, Windows+R/X) via Política de Grupo para bloquear a execução rápida de scripts, embora a adoção seja limitada devido à dependência do usuário. Para combater o NodeInitRAT, as equipes de segurança devem encerrar quaisquer node.exe processos suspeitos, deletar cargas associadas como DLLs e remover mecanismos de persistência. Em nível de rede, os defensores recomendam bloquear ou sinkholing quaisquer domínios C2 e IPs associados ao NodeInitRAT, assim como monitorar logs de DNS e tráfego para indicadores de comprometimento.
Dado que Mocha Manakin e NodeInitRAT compartilham características-chave com a atividade de ransomware Interlock, a detecção e resposta precoces são críticas. Confiem na suíte completa de produtos SOC Primes apoiada por IA, automação e inteligência sobre ameaças ao vivo para identificar ataques cibernéticos em seus estágios mais iniciais e proteger proativamente sua infraestrutura, não deixando chance para ameaças emergentes passarem despercebidas ao seu alcance.