Malware usa CAPTCHA para instalar Rootkit r77
14 de Março de 2025

Uma nova campanha de malware tem sido observada ao utilizar tácticas de engenharia social para disseminar um rootkit de código aberto chamado r77.

A atividade, denominada OBSCURE#BAT pela Securonix, permite que atores de ameaças estabeleçam persistência e evitem detecção em sistemas comprometidos.

Atualmente, não se sabe quem está por trás da campanha.

O rootkit "tem a capacidade de ocultar ou mascarar qualquer arquivo, chave de registro ou tarefa que comece com um prefixo específico", disseram os pesquisadores de segurança Den Iuzvyk e Tim Peck em um relatório compartilhado.

Tem como alvo usuários se passando por downloads de softwares legítimos ou através de golpes de engenharia social com CAPTCHA falso.

A campanha é projetada principalmente para alvo indivíduos que falam inglês, especialmente nos Estados Unidos, Canadá, Alemanha e Reino Unido.

OBSCURE#BAT recebe esse nome dado que o ponto de partida do ataque é um script de lote Windows ofuscado que, por sua vez, executa comandos PowerShell para ativar um processo de múltiplas etapas que culmina na implantação do rootkit.

Pelo menos dois diferentes caminhos de acesso inicial foram identificados para fazer os usuários executarem os scripts de lote maliciosos: um que usa a infame estratégia ClickFix, direcionando usuários para uma página falsa de verificação CAPTCHA da Cloudflare e um segundo método que anuncia o malware como ferramentas legítimas, como Tor Browser, software VoIP e clientes de mensagens.

Embora não esteja claro como os usuários são atraídos para o software armadilhado, suspeita-se que envolva abordagens testadas e comprovadas como malvertising ou envenenamento de SEO.

Independentemente do método utilizado, o payload de primeira fase é um arquivo que contém o script de lote, que então invoca comandos PowerShell para baixar scripts adicionais, fazer modificações no Registro do Windows e configurar tarefas agendadas para persistência.

"O malware armazena scripts ofuscados no Registro do Windows e garante a execução via tarefas agendadas, permitindo que ele seja executado de maneira furtiva em segundo plano", disseram os pesquisadores.

Além disso, modifica chaves do registro do sistema para registrar um driver falso (ACPIx86.sys), enraizando-se ainda mais no sistema.

Implantado ao longo do ataque está um payload .NET que emprega uma série de truques para evitar detecção.

Isso inclui ofuscação do fluxo de controle, criptografia de strings e uso de nomes de funções que misturam caracteres em árabe, chinês e especiais.

Outro payload carregado por meio do PowerShell é um executável que utiliza patching da Antimalware Scan Interface (AMSI) para burlar detecções de antivírus.

O payload .NET é, em última análise, responsável por soltar um rootkit em modo de sistema chamado "ACPIx86.sys" na pasta "C:\Windows\System32\Drivers\", que é então iniciado como um serviço.

Também é entregue um rootkit em modo de usuário referido como r77 para estabelecer persistência no host e ocultar arquivos, processos e chaves de registro que correspondam ao padrão ($nya-).
O malware ainda monitora periodicamente a atividade da área de transferência e o histórico de comandos, salvando-os em arquivos ocultos para provável exfiltração.

"OBSCURE#BAT demonstra uma cadeia de ataque altamente evasiva, aproveitando a ofuscação, técnicas de furtividade e hooking de API para persistir em sistemas comprometidos enquanto evita detecção", disseram os pesquisadores.

"Desde a execução inicial do script de lote ofuscado (install.bat) até a criação de tarefas agendadas e scripts armazenados no registro, o malware garante persistência mesmo após reinicializações.

Ao injetar em processos críticos do sistema como winlogon.exe, manipula o comportamento do processo para complicar ainda mais a detecção."

As descobertas vêm à medida que a Cofense detalhou uma campanha de spoofing do Microsoft Copilot que utiliza e-mails de phishing para levar os usuários a uma página de destino falsificada para o assistente de inteligência artificial (AI) que foi projetada para colher credenciais dos usuários e códigos de autenticação de dois fatores (2FA).

Publicidade

Proteja sua empresa contra hackers através de um Pentest

Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...