Uma nova cepa de malware chamada Slopoly, provavelmente desenvolvida com auxílio de ferramentas de inteligência artificial generativa, permitiu que um agente malicioso permanecesse em um servidor comprometido por mais de uma semana, roubando dados em um ataque de ransomware Interlock.
A invasão começou com uma isca social do tipo ClickFix.
Nas etapas seguintes, os hackers implantaram a backdoor Slopoly como um script PowerShell, que atuava como cliente do framework de comando e controle (C2).
Pesquisadores do IBM X-Force analisaram o script e encontraram forte indício de que ele foi gerado por um large language model (LLM), embora não tenham identificado qual modelo específico foi utilizado.
Os sinais que apontam para uma criação assistida por IA incluem comentários extensos no código, logging estruturado, tratamento aprimorado de erros e variáveis claramente nomeadas — características raramente presentes em malwares desenvolvidos manualmente.
O ataque foi atribuído por esses especialistas a um grupo com motivação financeira, identificado como Hive0163, cujo principal objetivo é extorsão por meio de exfiltração massiva de dados e ransomware.
Embora o Slopoly seja relativamente simples, seu uso na cadeia de ataques de operadores de ransomware evidencia que ferramentas de IA já são aplicadas para acelerar o desenvolvimento de malwares customizados, o que pode dificultar sua detecção.
Apesar de o script Slopoly se autodenominar “Polymorphic C2 Persistence Client”, o IBM X-Force não encontrou nenhuma funcionalidade que permita a modificação do próprio código durante a execução.
“O script não emprega técnicas avançadas e dificilmente pode ser considerado polimórfico, pois não é capaz de alterar seu código em tempo de execução”, afirma o relatório da IBM.
“No entanto, é possível que o construtor (builder) gere novos clientes com configurações randomizadas, como nomes de funções e parâmetros, prática comum em builders de malware.”
Os pesquisadores explicam que o Slopoly foi gerado por um builder que insere valores de configuração, como intervalos de beaconing, endereços de comando e controle, nomes de mutex e IDs de sessão.
O malware é instalado em C:\ProgramData\Microsoft\Windows\Runtime\ e executa as seguintes funções principais:
- Coleta informações do sistema;
- Envia um beacon de heartbeat a cada 30 segundos para /api/commands;
- Consulta comandos a cada 50 segundos;
- Executa os comandos recebidos via cmd.exe;
- Retorna a saída desses comandos ao servidor C2;
- Mantém um arquivo rotativo de persistence.log;
- Garante persistência por meio de uma tarefa agendada chamada “Runtime Broker”.
Entre os comandos suportados estão o download e execução de payloads EXE, DLL ou JavaScript; execução de comandos shell com retorno dos resultados; alteração dos intervalos de beaconing; atualização do malware; e encerramento do próprio processo.
O ataque analisado pela IBM começou com o fluxo social engineering ClickFix e envolveu a implantação de múltiplos componentes de malware além do Slopoly, como as backdoors NodeSnake e InterlockRAT.
O ransomware Interlock surgiu em 2024 e foi um dos primeiros a adotar a técnica de engenharia social ClickFix, seguida pela variante FileFix.
O grupo por trás dessas ações já reivindicou ataques contra organizações de destaque, como o Texas Tech University System, DaVita, Kettering Health e a cidade de Saint Paul, Minnesota.
O payload do ransomware Interlock identificado nas investigações da IBM é um executável Windows 64 bits, entregue via loader JunkFiction.
Ele pode ser executado como tarefa agendada com privilégios SYSTEM e utiliza a API Windows Restart Manager para liberar arquivos bloqueados, adicionando as extensões “.!NT3RLOCK” ou “.int3R1Ock” às cópias criptografadas.
Por fim, o IBM X-Force sugere que o grupo Hive0163 pode ter ligações com os desenvolvedores por trás de outras ameaças conhecidas, como Broomstick, SocksShell, PortStarter, SystemBC e os operadores do ransomware Rhysida.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...