Шкідлива навичка OpenClaw поширює Remcos RAT та GhostLoader

Ruslan Mikhalov Керівник досліджень загроз у SOC Prime

Стежити

Шкідлива навичка OpenClaw поширює Remcos RAT та GhostLoader

Detection stack

AIDR
Alert
ETL
Query

Звіт про загрози
Потік атаки
Виявлення
Симуляції

Резюме

Зловмисники опублікували шкідливу навичку OpenClaw під назвою DeepSeek-Claw, яка обманює агентів штучного інтелекту або розробників для завантаження військового MSI інсталятора. Після виконання інсталятор скидає підписаний виконуваний файл GoToMeeting, що завантажує шкідливу DLL, яка потім завантажує Remcos RAT. Окремий шлях зараження доставляє сильно обфусцирований Node.js корисний вантаж, який встановлює крос-платформного крадійника GhostLoader. Кампанія підкреслює, як можуть використовуватися скомпрометовані плагіни робочого процесу штучного інтелекту як вектор ланцюга поставок для стійкого віддаленого доступу та викрадення даних.

Розслідування

Zscaler ThreatLabz стежив за повним ланцюгом зараження від файлу розмітки навички до завантаження MSI, сторону завантаження DLL G2M.exe, і вбудованого завантажувача, відповідального за патч ETW та AMSI. Дослідники відновили конфігурацію Remcos, включаючи його адресу командного і контрольного центру та мьютекс, і також виявили використання GhostLoader скриптів та інсталяторів на основі Bash для середовищ macOS та Linux. Звіт додатково документує кілька технік ухилення, включаючи обфускацію API, дешифрування на основі TEA і перевірки на обізнаність про пісочниці. npm scripts and Bash-based installers for macOS and Linux environments. The report further documents multiple evasion techniques, including API obfuscation, TEA-based decryption, and sandbox-awareness checks.

Міграція

Захисники повинні блокувати доступ до шкідливого MSI та пов’язаних URL-адрес, контролювати небажані DLL, завантажені легітимними процесами GoToMeeting, і забезпечувати сувору перевірку змісту навички OpenClaw перед використанням. Захист кінцевих точок також має виявляти спроби патча ETW та AMSI та обмежувати виконання PowerShell or msiexec з неадміністративних контекстів. Організації повинні перевіряти підписи коду для всіх виконуваних файлів та застосовувати контроль з мінімальною привілею для інтеграцій агентів та плагінів штучного інтелекту.

Реакція

Якщо ця діяльність виявлена, негайно ізолюйте уражену кінцеву точку, завершити всі процеси Remcos або GhostLoader та видаліть шкідливі DLL та MSI артефакти з системи. Зберіть дампи пам’яті та збережіть конфігурацію Remcos для судово-експертного аналізу, потім скиньте скомпрометовані облікові дані та обертайте всі уражені сертифікати або секрети. Команди з безпеки також повинні оновлювати джерела розвідувальної інформації про загрози з ідентифікованими індикаторами та посилювати контроль ланцюга постачання щодо використання плагінів штучного інтелекту.

"graph TB %% Class definitions classDef technique fill:#cfe2f3 classDef tool fill:#e2efda classDef malware fill:#f9cb9c classDef process fill:#ffd966 %% Technique nodes tech_user_exec_copypaste[Technique – T1204.004 User Execution: Malicious Copy and Paste Description: Tricking users or AI agents into executing a copied PowerShell однорядковий. ] class tech_user_exec_copypaste technique tech_user_exec_link[Technique – T1204.001 User Execution: Malicious Link Description: Victim clicks a malicious download link that starts the same chain. ] class tech_user_exec_link technique tech_msiexec[Technique – T1218.007 System Binary Proxy Execution: Msiexec Description: Use of msiexec to silently download and install a remote MSI package. ] class tech_msiexec technique tech_dll_hijack[Technique – T1574.001 Hijack Execution Flow: DLL SideLoading Description: Loading a malicious DLL by placing it alongside a legitimate executable. ] class tech_dll_hijack technique tech_active_scanning[Technique – T1595 Active Scanning Description: Patching EtwEventWrite and AmsiScanBuffer to evade telemetry and antimалware scanning. ] class tech_active_scanning technique tech_virt_user_check[Technique – T1497.002 Virtualization Evasion: User Activity Checks Description: Detects user-driven activity to determine whether running in a sandbox. ] class tech_virt_user_check technique tech_virt_time_check[Technique – T1497.003 Virtualization Evasion: Time Checks Description: Introduces latency and time-based delays to thwart analysis ] class tech_virt_time_check technique tech_obfusc_embedded[Technique – T1027.009 Obfuscated Files or Information: Embedded Payloads Description: Final RAT payload encrypted with TEA-CBC and decrypted only in memory. ] class tech_obfusc_embedded technique tech_keylogging[Technique – T1056.001 Input Capture: Keylogging Description: Captures keystrokes from the compromised system. ] class tech_keylogging technique tech_clipboard[Technique – T1115 Clipboard Data Description: Reads clipboard contents for exfiltration ] class tech_clipboard technique tech_steal_cookie[ Technique – T1539 Steal Web Session Cookie Description: Extracts active browser cookies to bypass MFA. ] class tech_steal_cookie technique tech_alt_auth[Technique – T1550.004 Use Alternate Authentication Material: Web Session Cookie Description: Reuses harvested cookies as valid authentication tokens. ] class tech_alt_auth technique tech_forge_cookie[Technique – T1606.001 Forge Web Credentials: Web Cookies Description: Crafts formed web credentials based on stolen cookies. ] class tech_forge_cookie technique tech_private_keys[Technique – T1552.004 Credentials from Password Stores: Private Keys Description: Harvests SSH private keys from the filesystem. ] class tech_private_keys technique tech_cred_files[Technique – T1552.001 Credentials in Files Description: Searches for files containing plain-text credentials. ] class tech_cred_files technique tech_browser_creds[Technique – T1555.003 Credentials from Web Browsers Description: Dumps saved passwords from installed browsers. ] class tech_browser_creds technique tech_code_repo[Technique – T1213.003 Data from Information Repositories: Code Repositories Description: Collects cryptocurrency wallets and API tokens from source code files. ] class tech_code_repo technique tech_trusted_dev_util[Technique – T1127 Trusted Developer Utilities Proxy Execution Description: Executes malicious payload via npm lifecycle scripts and Node.js on macOS/Linux. ] class tech_trusted_dev_util technique tech_input_injection[Technique – T1674 Input Injection Description: Markdown in the skill injects commands that AI agents parse and run. ] cl…json (truncated for brevity)

Потік атаки

Національні команди та команди:
1. Підготовка: Зловмисник отримує шкідливий DLL корисний вантаж (наприклад, RAT) і перейменовує його g2m.dll щоб імітувати легітимну бібліотеку.
2. Розміщення: DLL копіюється у той самий каталог, що й легітимний виконуваний файл GoToMeeting (C: Program Files GoToMeeting). Оскільки Windows слідує за порядком пошуку DLL (спочатку програма), G2M.exe завантажиться g2m.dll замсть очікуваної бібліотеки.
3. Виконання: Зловмисник запускає G2M.exe. Під час створення процесу Sysmon записує Зображення = *G2M.exe. Незабаром після цього Sysmon реєструє ЗображенняЗавантажено = *g2m.dll.
Цей точний шаблон задовольняє умову правила Sigma (вибір1 та вибір2), викликаючи сигнал.

Регресійний тестовий скрипт: (PowerShell – автономний)

# -------------------------------------------------
# Регресійний скрипт для завантаження DLL через GoToMeeting
# -------------------------------------------------
$g2mPath = "C:Program FilesGoToMeeting"
$exe    = Join-Path $g2mPath "G2M.exe"
$malDll = Join-Path $g2mPath "g2m.dll"

# 1. Переконайтеся, що легітимний виконуваний файл існує
if (-not (Test-Path $exe)) {
    Write-Error "G2M.exe не знайдено за адресою $exe. Спочатку встановіть GoToMeeting."
    exit 1
}

# 2. Розгортайте небезпечну заповнювальну DLL (імітація шкідливого вантажу)
#    Тут ми копіюємо будь-який існуючий системний DLL, просто щоб мати файл з правильним ім'ям.
$sourceDll = "$env:SystemRootSystem32kernel32.dll"
Copy-Item -Path $sourceDll -Destination $malDll -Force

Write-Host "[+] Розміщено шкідливий DLL як $malDll"

# 3. Запуск підписаного бінарного файлу – це викликає завантаження
Write-Host "[+] Запуск G2M.exe для виклику завантаження DLL..."
$proc = Start-Process -FilePath $exe -PassThru

# 4. Зачекайте короткий період для запису події ImageLoaded
Start-Sleep -Seconds 5

# 5. Очистка – завершіть процес і видаліть DLL
if ($proc.HasExited -eq $false) {
    Stop-Process -Id $proc.Id -Force
    Write-Host "[+] Завершено G2M.exe (PID $($proc.Id))"
}

Remove-Item -Path $malDll -Force
Write-Host "[+] Очищено шкідливий DLL"
# -------------------------------------------------

Команди очищення: (Якщо зловмисник хоче тільки видалити артефакти)

# Видаліть шкідливий DLL, якщо він все ще існує
$dllPath = "C:Program FilesGoToMeetingg2m.dll"
if (Test-Path $dllPath) {
    Remove-Item -Path $dllPath -Force
    Write-Host "Видалено $dllPath"
}

# Опційно вбити будь-які залишкові процеси G2M.exe
Get-Process -Name "G2M" -ErrorAction SilentlyContinue |
    Stop-Process -Force
Write-Host "Закінчено всі залишкові процеси G2M.exe"

Приєднуйтесь до платформи Detection as Code від SOC Prime щоб покращити видимість загроз, найбільш актуальних для вашого бізнесу. Щоб допомогти вам розпочати та отримати негайну цінність, забронюйте зустріч зараз з експертами SOC Prime.

Приєднатися безкоштовно