A equipe de caça à ameaça do Spiderlabs descobriu recentemente uma campanha cibernética na qual os atores de ameaças usaram o aplicativo de gerenciamento remoto genuíno de screenconnect como uma arma para espalhar o Xworm Remote Access Trojan (RAT) por uma cadeia de infecção multifásica.
O ataque começa com táticas de engenharia social, incluindo phishing, Malvertisinge postagens enganosas de mídia social, atraindo usuários para falsificar sites com temas da AI como GPTGrok[.]Ai, que redireciona para domínios suspeitos, como Anhemvn6[.]com.
As vítimas são levadas a baixar um instalador disfarçado, mascarando -se como um arquivo MP4, como “Creation_made_by_grokai.mp4 grok.com”, que na verdade é o binário binário do Screenconnect.clientSetup.msi.
Análise revela Que os atacantes manipularam assinaturas do Authenticode para incorporar configurações maliciosas na assinatura digital legítima, permitindo que o binário modificado caia e seja executado no diretório temp enquanto ignora os alertas de detecção e resposta do terminal (EDR).
Pré-configurado para correr Hidden, o cliente estabelece uma sessão remota para servidores controlados por atacantes como a instância-keoxeq-relay[.]Screenconnect[.]com o uso de parâmetros como “? E = Access & y = convidado & h = instância-keoxeq-relay[.]Screenconnect[.]com & p = 443 & s = 44f& k = bgiaaa& c = Grokgpt ”, permitindo acesso remoto furtivo sem indicadores visíveis do usuário, como ícones ou notificações de bandeja.
A cadeia de execução envolve cargas úteis sem arquivo
Depois que o acesso remoto é protegido, a campanha avança para a execução por meio de um arquivo em lote caído, “X-Meta Firebase_crypted.bat”, que invoca mshta.exe para executar scripts ofuscados.
Isso leva ao download do CMD.EXE e a extrair um arquivo zip, “5btc.zip”, de Anhemvn4[.]com, criando uma pasta “xmetaVip” na unidade C:.
Dentro disso, um renomeado Pythonw.exe (como pw.exe) executa comandos codificados por Base64 para buscar e executar ofuscados Código Python De um repositório do GitHub no Github[.]com/trieule99911/vianhthuongbtc, incluindo arquivos como “base64.txt”.
Essa abordagem sem arquivo evita a detecção estática, facilitando a injeção de processo em navegadores legítimos como Chrome.exe e MsEdge.exe usando oco do processo (T1055.012) em uma área de trabalho escondida (T1564.003).
A persistência é estabelecida por meio de teclas de execução do Registry (T1547.001), modificando HKEY_CURRENT_USER Software Microsoft Windows CurrentVersion Run com valores imitando componentes do sistema, como o “Great Security”, para o back-back-backbat.bat, que re-ritores, o Ryths Security “, que não é exagerado. “Buquabua.txt.”
Imperativo da caça às ameaças lideradas pelo homem
Análises adicionais mostram tentativas de acesso de credenciais (T1555.003), direcionando os arquivos do navegador no Google Chrome, Microsoft Edge e Mozilla Firefox, juntamente com a descoberta via consultas WMI para detalhes do sistema operacional (T1082) e software antivirus (T1518.001).
O repositório do GitHub, criou apenas uma semana antes dos ataques, hospeda 11 arquivos python codificados com base 64, divididos em criadores de persistência e cargas úteis complexas atribuídas ao rato Xworm, uma oferta de malware como serviço.
Um arquivo, “Exppiyt.txt”, revela um IP de comando e controle (C2): 5[.]181[.]165[.]102: 7705, não detectado no Virustotal no tempo de análise.
Esta campanha destaca a exploração da marca de IA pelos adversários para aprimorar a eficácia da engenharia social, ignorando o EDR por meio de comportamentos ocultos que exigiam revisões manuais da linha do tempo em ferramentas como o Defender.
O Spiderlabs enfatiza as limitações da detecção automatizada, ressaltando o valor da caça proativa de ameaças para identificar tais ameaças evasivas, combinando a experiência humana com o rigor investigativo para mitigar riscos na evolução das cibernéticas.
Indicadores de compromisso (IOCs)
| Tipo | Indicador |
|---|---|
| URLs | hxxps: // gptgrok[.]ai hxxps: // anhemvn6[.]com hxxps: // anhemvn4[.]com/5BTC[.]Zip hxxps: // github[.]com/trieule99911/vianhthuongbtc (e associado raw.githubuserContent[.]Caminhos de arquivo com BASSE64.txt, backpuppure.txt, etc.) |
| C2 IP | 5[.]181[.]165[.]102: 7705 |
Encontre esta notícia interessante! Siga -nosGoogle NewsAssim,LinkedIneXPara obter atualizações instantâneas!