Campanha de malware multiestágio abusa de ferramentas legítimas e distribui ransomware e Amnesia RAT

O time de CTI da ICSLabs identificou recentemente uma campanha de malware altamente sofisticada, composta por múltiplos estágios, que tem como principal alvo usuários localizados na Rússia. A operação chama atenção pelo uso extensivo de engenharia social, abuso de ferramentas legítimas do Windows e pela exploração de serviços amplamente confiáveis, como GitHub e Dropbox, para hospedagem de payloads maliciosos.

O ataque começa com documentos aparentemente inofensivos, apresentados como materiais rotineiros de trabalho, e evolui rapidamente para um comprometimento completo do sistema, envolvendo espionagem, desativação de mecanismos de segurança, implantação de backdoors, ransomware e um WinLocker para bloqueio total da máquina.

Engenharia social como ponto de entrada

O vetor inicial da infecção é um arquivo compactado que contém diversos documentos falsos, como arquivos de texto e planilhas com nomes em russo relacionados a tarefas financeiras e contábeis. Esses arquivos funcionam como iscas, reforçando a aparência de legitimidade e aumentando a probabilidade de interação por parte da vítima.

Entre os arquivos do pacote, destaca-se um atalho malicioso (.LNK) disfarçado como um simples documento de texto. Ao ser executado, ele inicia o PowerShell com política de execução ignorada, baixando e executando remotamente um script hospedado no GitHub. Nenhuma vulnerabilidade é explorada nesse estágio, o sucesso do ataque depende exclusivamente da ação do usuário.

Scripts em múltiplas camadas e execução silenciosa

O script inicial em PowerShell atua como um carregador leve, responsável por ocultar sua execução, criar um documento de distração com instruções falsas de trabalho e abrir esse arquivo automaticamente para manter o usuário ocupado. Enquanto isso, a execução real ocorre em segundo plano.

Como confirmação de sucesso, o script envia informações básicas do sistema comprometido para os atacantes via API do Telegram. Após um atraso intencional, ele baixa um segundo estágio em VBScript, fortemente ofuscado com ferramentas comerciais e rotinas personalizadas de criptografia, dificultando a detecção e análise estática.

Esse segundo estágio funciona como o orquestrador central da campanha, reconstruindo dinamicamente o código final apenas em memória, utilizando uma combinação de Base64 e RC4 antes de executar o payload real.

Escalada de privilégios e neutralização de defesas

Antes de avançar para ações mais agressivas, o malware verifica se possui privilégios administrativos. Caso contrário, entra em um loop persistente de elevação via UAC até obter acesso elevado.

Com privilégios garantidos, a campanha inicia uma fase dedicada à neutralização de defesas. O Microsoft Defender é progressivamente desativado por meio de comandos PowerShell, alterações no registro e exclusões estratégicas de diretórios amplamente utilizados pelo sistema. Esse processo reduz drasticamente a capacidade de detecção de arquivos e comportamentos maliciosos.

Um dos pontos mais relevantes da campanha é o uso operacional da ferramenta Defendnot, originalmente criada como prova de conceito para demonstrar fragilidades no modelo de confiança do Windows Security Center. Os atacantes utilizam a ferramenta para registrar um falso antivírus no sistema, forçando o Windows a desativar automaticamente o Microsoft Defender, sem encerrar seus serviços diretamente.

Espionagem e coleta de informações

Com as defesas neutralizadas, o ataque entra em uma fase de reconhecimento e vigilância ativa. Informações detalhadas do sistema, usuário, hardware e rede são coletadas e enviadas aos atacantes via Telegram.

Além disso, um módulo adicional é implantado para capturar screenshots da tela da vítima em intervalos regulares durante aproximadamente quinze minutos. As imagens são exfiltradas quase em tempo real, permitindo que os operadores observem a atividade do usuário e avaliem o valor do alvo.

Bloqueio do sistema e remoção de opções de recuperação

Para impedir qualquer tentativa de resposta ou remediação, o malware aplica uma série de restrições ao sistema operacional. Ferramentas administrativas como Editor de Registro, Gerenciador de Tarefas, Painel de Controle e utilitários de configuração são desativadas por meio de políticas no registro.

Em paralelo, mecanismos de recuperação são destruídos: o Ambiente de Recuperação do Windows é desativado, catálogos de backup são apagados e todas as cópias de sombra (VSS) são removidas. Essas ações tornam extremamente difícil a recuperação do sistema sem reinstalação completa.

O ataque também altera associações de arquivos no Windows, impedindo a abertura de executáveis, documentos, imagens e diversos outros formatos. Ao tentar abrir qualquer arquivo, a vítima recebe uma mensagem instruindo-a a entrar em contato com os atacantes via Telegram.

Amnesia RAT, ransomware e WinLocker

Na fase final, a campanha implanta múltiplos payloads de alto impacto. O principal deles é o Amnesia RAT, distribuído a partir do Dropbox e disfarçado como um arquivo legítimo do sistema. O malware fornece controle remoto completo, coleta extensiva de credenciais, sequestro de sessões do Telegram, roubo de dados de navegadores, carteiras de criptomoedas e monitoramento contínuo da atividade do usuário.

Em seguida, um ransomware derivado da família Hakuna Matata é executado, criptografando arquivos com uma extensão personalizada e deixando notas de resgate em russo. O malware também encerra processos críticos, substitui o papel de parede e implementa funcionalidades de clipbanker, alterando endereços de criptomoedas copiados para a área de transferência.

Por fim, um componente WinLocker é ativado, bloqueando completamente a interface do sistema e exibindo mensagens que pressionam a vítima a entrar em contato com os atacantes dentro de um prazo limitado.

Considerações finais

Essa campanha demonstra como ataques modernos podem alcançar comprometimento total sem explorar falhas técnicas, utilizando apenas engenharia social, serviços legítimos e funcionalidades nativas do sistema operacional. O abuso de plataformas como GitHub, Dropbox e Telegram ajuda o tráfego malicioso a se misturar com atividades legítimas, dificultando a detecção e resposta.

O caso reforça a importância de monitorar alterações inesperadas em configurações de segurança, políticas de sistema, mecanismos de persistência e uso anômalo de ferramentas administrativas. Uma vez que as defesas e opções de recuperação são neutralizadas, o impacto se intensifica rapidamente e as possibilidades de contenção se tornam extremamente limitadas.

Recomendações de Mitigação e Defesa

• Bloquear ou restringir a execução de arquivos .LNK a partir de pastas de usuário (Downloads, Desktop, Temp)

• Restringir a execução de PowerShell e VBScript por meio de AppLocker, WDAC ou políticas equivalentes

• Monitorar o uso de PowerShell com parâmetros como ExecutionPolicy Bypass e Invoke-Expression (iex)

• Habilitar e monitorar logs avançados do PowerShell (Script Block e Module Logging)

• Detectar e alertar sobre alterações nas configurações do Microsoft Defender

• Monitorar a criação de exclusões amplas de diretórios no Defender

• Investigar o registro inesperado de novos produtos de segurança no Windows Security Center

• Monitorar o uso de ferramentas administrativas nativas (vssadmin, wbadmin, reagentc, gpupdate)

• Monitorar alterações em chaves do registro

• Detectar modificações massivas em associações de arquivos no registro (HKCR)

• Monitorar criação e execução de arquivos .scr fora de contextos legítimos

• Garantir backups offline ou imutáveis e testar regularmente a restauração

• Priorizar soluções de EDR com detecção comportamental e resposta automatizada