Uma nova campanha maliciosa combina o método ClickFix com CAPTCHAs falsos e um script assinado do Microsoft Application Virtualization (App-V) para distribuir o malware Amatera, especializado em roubo de informações.
O script do Microsoft App-V funciona como um “living-off-the-land binary”, ou seja, uma ferramenta legítima usada para executar comandos maliciosos disfarçados.
Ele atua como proxy para a execução do PowerShell por meio de um componente confiável da Microsoft, mascarando as ações maliciosas.
O Microsoft Application Virtualization é um recurso corporativo do Windows que permite rodar aplicações em ambientes virtuais isolados, sem instalação direta no sistema.
Embora scripts App-V já tenham sido usados para burlar soluções de segurança, esta é a primeira vez que esse tipo de arquivo aparece em ataques ClickFix que distribuem malwares do tipo infostealer.
Segundo a empresa de segurança BlackPoint Cyber, especialista em threat hunting, detecção e resposta, o ataque começa com uma verificação falsa de CAPTCHA, que orienta a vítima a copiar e colar manualmente um comando no Executar do Windows.
Esse comando explora o script legítimo SyncAppvPublishingServer.vbs, normalmente usado para gerenciar aplicações virtualizadas em ambientes corporativos.
O script é executado pela ferramenta confiável wscript.exe, que, por sua vez, inicia o PowerShell.
Na fase inicial, o comando verifica se foi executado manualmente, se a sequência de execução ocorreu conforme esperado e se o conteúdo da área de transferência não foi alterado.
Essa verificação evita que o loader do malware seja ativado em máquinas sandbox de análise automática.
Pesquisadores da BlackPoint Cyber revelam que, ao identificar um ambiente de análise, a execução do comando é interrompida silenciosamente, permanecendo em espera infinita para desperdiçar recursos das ferramentas automatizadas.
Quando essas condições são cumpridas, o malware obtém dados de configuração de um arquivo público do Google Calendar, em que as informações estão codificadas em base64 dentro de um evento específico.
Nas etapas seguintes, o ataque cria um processo PowerShell de 32 bits oculto via Windows Management Instrumentation (WMI).
Vários payloads embutidos são então descriptografados e carregados diretamente na memória.
A cadeia de infecção evolui para o uso de esteganografia, com o payload criptografado embutido em imagens PNG hospedadas em CDNs públicos, acessadas dinamicamente pelo malware por meio das APIs WinINet.
Os dados são recuperados usando esteganografia de bits menos significativos (LSB), depois descriptografados, descomprimidos com GZip e executados inteiramente na memória.
Na última etapa, o PowerShell descriptografa e injeta shellcode nativo que ativa o infostealer Amatera.
Após a infecção, o malware se conecta a um IP fixo para obter mapeamentos de endpoints e aguarda o recebimento de payloads adicionais por meio de requisições HTTP POST.
A BlackPoint Cyber classifica Amatera como um infostealer padrão, capaz de coletar dados e credenciais de navegadores, embora não tenha detalhado todas as suas capacidades.
Com base na análise de código, Amatera é derivado do infostealer ACR, está em desenvolvimento ativo e é oferecido como malware-as-a-service (MaaS).
Em relatório divulgado no ano passado, pesquisadores da Proofpoint apontam que o Amatera vem se tornando cada vez mais sofisticado a cada atualização.
Anteriormente, os operadores do Amatera o distribuíam pelo método ClickFix, induzindo usuários a executarem comandos PowerShell manualmente.
Para se defender contra esse tipo de ataque, os especialistas recomendam restringir o acesso ao Executar do Windows via Group Policy, remover componentes App-V quando não forem necessários, ativar o logging do PowerShell e monitorar conexões de saída para detectar discrepâncias entre o cabeçalho HTTP Host ou TLS SNI e o IP de destino.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...