Caçadores de ameaças identificaram uma nova campanha em que criminosos se passam por suporte técnico falso para distribuir o framework de comando e controle (C2) Havoc, preparando o terreno para exfiltração de dados ou ataques de ransomware.
Os ataques, detectados pela Huntress no mês passado em cinco organizações parceiras, começaram com um envio massivo de e-mails spam.
Na sequência, os invasores faziam ligações se passando pela equipe de TI, ativando uma cadeia de entrega de malware em múltiplas camadas.
Segundo os pesquisadores Michael Tigges, Anna Pham e Bryan Masters, “em uma das empresas, o atacante expandiu o acesso inicial para nove endpoints adicionais em apenas onze horas.
Eles usaram uma combinação de payloads customizados do Havoc Demon e ferramentas legítimas de gerenciamento remoto (RMM) para garantir persistência.
A velocidade do movimento lateral indica que o objetivo final era exfiltração de dados, ransomware ou ambos.”
É importante destacar que esse modus operandi remete a ataques anteriores envolvendo email bombing e phishing via Microsoft Teams, associados ao grupo de ransomware Black Basta.
Embora o grupo tenha ficado inativo após o vazamento de suas conversas internas no ano passado, o uso contínuo dessas táticas indica dois cenários possíveis: ex-membros do Black Basta migraram para outras operações ou rivais adotaram a mesma estratégia para obter acesso inicial.
A cadeia do ataque começa com uma campanha de spam que sobrecarrega as caixas de entrada das vítimas com e-mails falsos.
Depois, os invasores, disfarçados de suporte técnico, ligam para os usuários e os convencem a conceder acesso remoto via Quick Assist ou instalando ferramentas como AnyDesk, supostamente para resolver o problema.
Assim que obtêm controle remoto, os criminosos acessam um site falso hospedado na Amazon Web Services (AWS) que simula uma página da Microsoft.
Essa landing page instrui a vítima a inserir seu endereço de e-mail para supostamente atualizar regras anti-spam do Outlook.
Ao clicar no botão “Update rules configuration” da página fraudulenta, um script é executado exibindo uma sobreposição que solicita a senha do usuário.
A Huntress explica que esse mecanismo tem duas finalidades: captar credenciais que, junto ao e-mail, dão acesso ao painel de controle do atacante; e aumentar a sensação de autenticidade, convencendo a vítima de que o processo é legítimo.
O ataque avança com o download de um falso patch anti-spam, que aciona a execução de um binário legítimo — como “ADNotificationManager.exe”, “DLPUserAgent.exe” ou “Werfault.exe” — para fazer sideload de uma DLL maliciosa.
Essa DLL implementa técnicas de evasão de defesa e executa o payload shellcode Havoc, criando uma thread que lança o agente Demon.
Ao menos uma das DLLs identificadas (“vcruntime140_1.dll”) traz recursos adicionais para evitar a detecção por softwares de segurança.
Entre eles estão obfuscação do fluxo de controle, delay loops baseados em temporização e técnicas avançadas como Hell’s Gate e Halo’s Gate, que interceptam funções de ntdll.dll para burlar soluções de EDR (Endpoint Detection and Response).
Após a implantação inicial do Havoc Demon na máquina principal, os invasores realizaram movimentação lateral na rede da vítima.
Embora a engenharia social e a entrega inicial do malware tenham sido sofisticadas, as ações posteriores foram mais diretas, segundo os pesquisadores.
Isso inclui a criação de tarefas agendadas para garantir que o Havoc Demon seja executado sempre que o sistema for reiniciado, assegurando acesso remoto persistente.
Curiosamente, em algumas máquinas comprometidas, os atacantes usaram ferramentas legítimas de gerenciamento remoto, como Level RMM e XEOX, diversificando seus métodos de persistência.
Entre os principais pontos destacados por essa campanha está a disposição dos invasores para se passarem por profissionais de TI e até realizarem chamadas telefônicas pessoais para aumentar a taxa de sucesso.
Além disso, técnicas de evasão antes restritas a ataques contra grandes corporações ou operações patrocinadas por estados vêm se popularizando.
Malware de prateleira também tem sido customizado para escapar de assinaturas baseadas em padrões.
Outra observação importante é a rapidez com que o ataque evolui, desde o comprometimento inicial até o movimento lateral, combinando múltiplas estratégias para manter a presença no ambiente.
Como resumem os especialistas da Huntress, “o que começa como uma ligação de ‘suporte técnico’ termina em um comprometimento de rede completo — com Havoc Demons modificados espalhados por vários endpoints e ferramentas legítimas de RMM usadas como backup para persistência.
Essa campanha é um estudo de caso sobre como adversários modernos aplicam camadas de sofisticação em todas as etapas: social engineering para entrar na rede, DLL sideloading para permanecer invisível e persistência diversificada para resistir à remediação.”
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...