Surgiu uma nova campanha que aproveita o malware Formbook, apresentando táticas sofisticadas de infecção em vários estágios que ressaltam a importância de analisar mais do que apenas arquivos executáveis durante investigações de malware.
Ao ensinar engenharia reversa de malware em cursos como SANS FOR610, é fundamental abordado que a engenharia reversa se aplica a todos os componentes da cadeia de infecção, não apenas aos binários PE ou ELF. A trajetória de ataque recente destaca exatamente o porquê.
A infecção começa com um e-mail de phishing contendo um anexo de arquivo ZIP. O arquivo ZIP contém um único script com nome enganoso:Payment_confirmation_copy_30K__202512110937495663904650431.vbs.
A natureza ofuscada deste arquivo e a baixa taxa de detecção de antivírus, apenas 17 dos 65 mecanismos sinalizados no VirusTotal demonstram a evasão da ameaça.
Táticas de ofuscação de script VBS
Abrir o arquivo VBS revela truques clássicos de anti-análise. O script começa com um loop de atraso personalizado, implementado usando oDateAddeWscript.Sleepfunções.
Esta pausa de 9 segundos ajuda a contornar os mecanismos de detecção, que muitas vezes sinalizam o padrãosleepfuncionar como suspeito. Após o atraso, o script começa a construir uma imagem fortemente ofuscada Carga útil do PowerShell.
A concatenação de strings obscurece o comando real, escondendo palavras-chave como “PowerShell” atrás de manipulações matemáticas de códigos de caracteres.
Através deste método, o script constrói gradualmente uma nova série de comandos destinados à execução viaShell.Applicationcomplicando ainda mais a análise estática.
PowerShell altamente ofuscado
Quando executado, o script do PowerShell gerado continua o padrão de ofuscação. Notavelmente, duas funções MicrocoulombeBlokbogstavers65 são centrais para esta complexidade.
OMicrocoulombA função reconstrói strings de maneira inteligente, extraindo caracteres específicos de sua entrada, produzindo palavras-chave críticas necessárias para operações de carga útil subsequentes.
Por exemplo, a variável reconstruída, após processamento repetido, revela “nET.wEBClIent” um componente central para comunicações de rede.
Blokbogstavers65simplifica as coisas servindo como ponto de entrada paraInvoke-Expressionexecutando os segmentos de código criados dinamicamente. Essa ofuscação em camadas permite que os invasores evitem o escrutínio automatizado e manual.
O mecanismo de download de carga útil é bloqueado em um loop que tenta repetidamente buscar um arquivo nohxxps://drive[.]google[.]com/uc?export=download&id=1jFn0CatcuICOIjBsP_WxcI_faBI9WA9S.
Uma vez adquirido, ele é armazenado comoC:UsersREMAppDataRoamingbudene.con. A decodificação desse arquivo revela outro script do PowerShell, mantendo a cadeia de ofuscação e paralisação da detecção.
Injeção de Formbook via Processo
A etapa final aproveita a injeção de processo. O script é iniciadomsiexec.exeno qual injeta o malware Formbook.
O binário injetado C:UsersREMAppDataLocalTempbin.exe(SHA256:12a0f592ba833fb80cc286e28a36dcdef041b7fc086a7988a02d9d55ef4c0a9d) se comunica com seu servidor de comando e controle em216[.]250[.]252[.]227:7719.
O uso de processos legítimos e injeção de memória permite que o malware opere furtivamente, contornando a maioria das defesas tradicionais de endpoint.
Esta campanha demonstra a necessidade de os analistas de segurança aplicarem habilidades de engenharia reversa em toda a cadeia de infecção, desde scripts e cargas úteis do PowerShell até os executáveis finais.
Ofuscação, atrasos na anti-análise e execução de scripts em vários estágios complicam os esforços de detecção e análise, destacando por que os defensores devem examinar cada arquivo e processo envolvido em um incidente.
Somente desvendando cada camada os analistas podem revelar completamente as táticas, técnicas e procedimentos utilizados pelos autores de malware modernos, como aqueles por trás do Formbook.
Siga-nos emGoogle Notícias,LinkedIneXpara obter atualizações instantâneas e definir GBH como fonte preferencial emGoogle.