O grupo de ransomware LeakNet vem adotando a técnica ClickFix para obter o acesso inicial em ambientes corporativos, além de usar um malware loader baseado no runtime open-source Deno, que suporta JavaScript e TypeScript.
Os atacantes exploram o Deno legítimo para decodificar e executar cargas maliciosas diretamente na memória do sistema.
Essa abordagem reduz vestígios forenses no disco e dificulta a detecção pelos mecanismos de segurança.
Ativo desde o final de 2023, o LeakNet é um ator relativamente novo no cenário do ransomware, com uma média de três vítimas mensais.
No entanto, a operação pode crescer com a adoção dessas novas táticas.
ClickFix é um ataque de engenharia social bastante disseminado, que engana usuários para executar comandos maliciosos por meio de prompts falsos.
A técnica já foi empregada por diversos grupos de ransomware, como Termite e Interlock.
No caso do LeakNet, a isca ClickFix leva à implantação de um loader baseado em Deno, que roda um payload JavaScript diretamente na memória do sistema.
A empresa de segurança ReliaQuest classifica essa tática como um ataque “bring your own runtime” (BYOR), já que o Deno é um runtime legítimo de JavaScript/TypeScript que possibilita a execução de código JS/TS fora do navegador.
Por ser um executável assinado e legítimo, o Deno consegue contornar listas de bloqueio e filtros que impedem a execução de binários desconhecidos.
“Em vez de implantar um loader malicioso personalizado, com maior chance de ser detectado, os atacantes instalam o executável legítimo do Deno e o usam para rodar código malicioso”, explica a ReliaQuest.
Nos ataques observados, esse processo é iniciado por meio de scripts Visual Basic Script (VBS) e PowerShell, com nomes estratégicos como Romeo*.ps1 e Juliet*.vbs.
O uso do Deno para execução direta em memória é crucial, pois deixa poucos artefatos forenses e se assemelha a uma tarefa comum de desenvolvimento.
Após a execução, o código realiza o fingerprinting da máquina, gera um ID único para a vítima e conecta-se ao servidor de comando e controle (C2) para baixar a carga de segundo estágio.
Simultaneamente, mantém um loop persistente para receber novos comandos do C2.
Na fase de pós-exploração, o LeakNet emprega técnicas como DLL sideloading (por exemplo, o jli.dll carregado via Java em C:\ProgramData\USOShared), beaconing para o C2, descoberta de credenciais por meio da enumeração ‘klist’, movimento lateral usando PsExec e estágios de payload com exfiltração de dados que envolve o abuso de buckets Amazon S3.
Os pesquisadores ressaltam que a consistência e repetibilidade dessa cadeia de ataque oferecem oportunidades para detecção por parte dos defensores.
Indicativos fortes de possível atividade do LeakNet incluem a execução do Deno fora de ambientes de desenvolvimento, execuções suspeitas de ‘misexec’ originadas de navegadores, uso anômalo do PsExec, tráfego inesperado para buckets S3 e DLL sideloading em diretórios incomuns.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...