O malware distribuído pelo RIG Exploit Kit instala um driver de 32 bits, manipula tráfego HTTP, altera páginas iniciais e coleta dados de navegação para fraude de publicidade.
| Componente | CEIDPageLock, um sequestrador de navegador com driver de modo núcleo de 32 bits salvo como houzi.sys; versões anteriores usavam o nome CEID.sys. |
| Vetor | Distribuição observada por meio do RIG Exploit Kit, seguida por extração, registro e inicialização do driver no sistema comprometido. |
| Impacto | Alteração de página inicial, substituição dinâmica de conteúdo HTTP, coleta de endereço MAC, identificador de usuário e estatísticas de navegação, com persistência em nível de núcleo. |
| Prioridade | Investigar hosts Windows 32-bit ou com artefatos compatíveis, bloquear domínios defangados relacionados, revisar drivers iniciados no boot e remover persistência antes de restaurar navegadores. |
| Artefatos | houzi.sys, CEID.sys, chave \Registry\Machine\Software\Wow6432Node\360Safe\safemon\ATHPJUMP e uso de VMProtect na versão mais nova. |
| IoCs | Domínios defangados www[.]tj999[.]top, 588[.]gychina[.]org e 111[.]l2345[.]cn; hashes MD5 observados: C7A5241567B504F2DF18D085A4DDE559, F7CAF6B189466895D0508EEB8FC25948, 1A179E3A93BF3B59738CBE7BB25F72AB. |
CEIDPageLock é um malware voltado a sequestro de navegador, mas sua implementação vai além de uma alteração simples de configuração no perfil do usuário. A cadeia observada usa o RIG Exploit Kit para entregar um dropper que extrai um driver de modo núcleo de 32 bits, grava o arquivo em \Windows\Temp com o nome houzi.sys, registra o driver e o inicia para obter persistência junto aos drivers carregados durante a inicialização do Windows. Em versões anteriores, o driver era identificado como CEID.sys, origem do nome associado à família.
A finalidade principal é manipular a navegação da vítima e direcionar tráfego para uma página que se passa pelo diretório chinês 2345[.]com. A página fraudulenta usa o domínio defangado 111[.]l2345[.]cn e tem relação com coleta de estatísticas e monetização por buscas. Embora a categoria funcional seja sequestro de navegador, a presença de código operando no núcleo amplia o risco: a capacidade de interceptar tráfego, esconder artefatos, persistir no boot e executar lógica em contexto privilegiado torna o implante mais difícil de detectar e remover do que extensões maliciosas ou alterações comuns de página inicial.
A atividade tem concentração em vítimas chinesas, com baixa incidência fora da China no conjunto de sensores mencionado no contexto. Essa distribuição geográfica é coerente com a escolha de páginas e serviços populares chineses como alvos de manipulação. A versão mais nova adiciona VMProtect ao empacotamento, dificultando análise estática e desempacotamento, especialmente porque o objeto protegido é um driver de núcleo, classe de componente que já exige cuidado maior durante engenharia reversa e resposta a incidente.
Após a execução inicial, o dropper concentra-se em colocar o driver no sistema e ativar sua rotina de persistência. O arquivo extraído é salvo no diretório temporário do Windows com nome houzi.sys. Depois do registro e da inicialização do driver, a amostra envia o endereço MAC e um identificador de usuário do computador comprometido para o domínio defangado www[.]tj999[.]top. Esse comportamento fornece ao operador uma forma de inventariar instalações e associar telemetria de navegação a um host ou perfil de vítima sem depender apenas de cookies do navegador.
O driver contém domínios C2 codificados e busca uma configuração de página inicial. O conteúdo da página é obtido de forma cifrada e, depois de decifrado, aponta para o domínio defangado 588[.]gychina[.]org como origem do conteúdo usado no sequestro. A URL final apresentada como página inicial fraudulenta é 111[.]l2345[.]cn. O objetivo operacional é manter a vítima em um ambiente de busca e diretório controlado pelo operador, o que permite contabilizar consultas, medir permanência em páginas e obter receita por encaminhamento ou publicidade.
A mudança mais relevante na versão nova é o método de substituição de conteúdo durante a navegação. Em vez de apenas alterar uma configuração persistente do navegador, o rootkit abre \Driver\AFD e intercepta o método AfdFastIoDeviceControl. A partir desse ponto, verifica mensagens HTTP de saída à procura de strings associadas a sites chineses populares. Quando encontra uma correspondência, marca o processo em uma lista interna de processos que serão redirecionados de forma lógica. Em respostas recebidas por processos nessa lista, o driver altera o conteúdo retornado para o material da página fraudulenta. Como a barra de endereço do navegador não precisa mudar, o usuário pode acreditar que está acessando o site pretendido enquanto o conteúdo exibido foi substituído no caminho.
Esse desenho reduz a visibilidade de sinais simples de redirecionamento, como códigos HTTP 3xx ou mudanças explícitas de URL. Para defesa, o ponto importante não é reproduzir a técnica, mas reconhecer que a anomalia pode aparecer como divergência entre URL exibida, conteúdo renderizado e fluxo de rede. Também há uma função de bloqueio voltada a impedir acesso do navegador a arquivos relacionados a produtos antivírus, com ampliação da lista de arquivos bloqueados na versão mais nova. Além disso, durante a instalação, o malware cria ou altera uma chave associada ao componente safemon do produto 360Safe, gravando valor zero em \Registry\Machine\Software\Wow6432Node\360Safe\safemon\ATHPJUMP.
A superfície mais exposta é composta por estáções Windows capazes de carregar o driver de 32 bits e que tenham sido alcançadas pela cadeia do RIG Exploit Kit. O contexto não específica versões do Windows, vulnerabilidades exploradas pelo kit ou aplicações exploradas no acesso inicial; portanto, a triagem deve focar em evidências do dropper, do driver, do carregamento no boot, de conexões para a infraestrutura defangada e de alterações em navegadores. Não há base suficiente para afirmar exploração ativa de uma CVE específica, nem para atribuir a infecção a uma campanha além da distribuição pelo kit de exploração informado.
O componente afetado do ponto de vista do usuário é o navegador, mas o controle real fica abaixo dele, no driver de núcleo. Essa distinção é importante para resposta: restaurar página inicial, limpar extensões ou reinstalar o navegador pode não resolver o incidente se o driver continuar interceptando mensagens HTTP e reescrevendo conteúdo. Também é relevante considerar que o malware monitora quais páginas são visitadas e por quanto tempo, informação que pode ser usada para segmentação de publicidade ou vendida para terceiros, conforme descrito no comportamento observado.
Os alvos práticos são usuários que acessam sites chineses populares e serviços de busca ou diretórios locais, porque a lógica de substituição depende de strings específicas procuradas nas mensagens HTTP de saída. Fora desse perfil, a infecção ainda representa risco de persistência privilegiada, mas o retorno financeiro do operador tende a ser menor. A presença de VMProtect e técnicas de ocultação indica investimento operacional para manter o implante ativo mesmo quando o objetivo aparente é fraude de tráfego.
- Hosts Windows com driver
houzi.sysem\Windows\Tempou vestígios do nome antigoCEID.sys. - Navegadores com página inicial alterada para domínio que imita 2345[.]com ou com conteúdo inconsistente em sites chineses populares.
- Sistemas com chave
\Registry\Machine\Software\Wow6432Node\360Safe\safemon\ATHPJUMPmodificada para valor zero. - Ambientes com conexões HTTP ou DNS para
www[.]tj999[.]top,588[.]gychina[.]orgou111[.]l2345[.]cn.
A investigação deve começar por inventário de drivers de terceiros carregados no boot, nomes de serviço associados a houzi.sys e arquivos criados em \Windows\Temp. Como a família usa empacotamento com VMProtect na versão mais recente, hashes conhecidos ajudam na triagem inicial, mas não devem ser a única detecção. A análise deve combinar caminho, assinatura ausente ou incomum, horário de criação, persistência de driver, chamadas de rede para domínios defangados e alterações de configuração em navegadores.
Na telemetria de rede, o comportamento mais útil é a combinação entre comunicação de inventário do host e download de configuração de página inicial. O envio de endereço MAC e identificador de usuário para www[.]tj999[.]top indica etapa pós-instalação. Requisições relacionadas a 588[.]gychina[.]org e 111[.]l2345[.]cn devem ser correlacionadas com eventos locais de criação de driver e mudanças no navegador. Como o rootkit pode substituir conteúdo sem alterar a URL aparente, proxies, capturas de tráfego e logs de endpoint podem divergir da experiência visual do usuário; essa divergência deve ser tratada como sinal de comprometimento, não como erro isolado do navegador.
No endpoint, caçadas devem observar acesso a \Driver\AFD, hooking de AfdFastIoDeviceControl, manipulação de respostas recebidas por processos de navegador e bloqueios de acesso a arquivos de antivírus. Esses sinais podem exigir EDR com visibilidade de kernel ou coleta forense offline, já que código em modo núcleo pode interferir na observação em tempo real. A versão empacotada também pode degradar a qualidade de indicadores baseados em strings internas, tornando mais robustas as detecções por comportamento, carregamento anômalo de driver e relações de processo e rede.
- Criação, registro ou carregamento de
houzi.sysa partir de\Windows\Temp. - Conexões para domínios defangados
www[.]tj999[.]top,588[.]gychina[.]orge111[.]l2345[.]cn. - Página renderizada incompatível com a URL exibida, especialmente em sites chineses populares monitorados pelo malware.
- Bloqueio ou falha anômala de acesso do navegador a arquivos associados a produtos antivírus.
- Presença dos hashes MD5
C7A5241567B504F2DF18D085A4DDE559,F7CAF6B189466895D0508EEB8FC25948ou1A179E3A93BF3B59738CBE7BB25F72ABem repositórios de amostras ou hosts investigados.
A resposta deve tratar CEIDPageLock como comprometimento com componente de núcleo, não apenas como adware. O primeiro passo defensivo é isolar hosts suspeitos para preservar evidências e impedir comunicação com a infraestrutura defangada. Em seguida, equipes devem coletar lista de drivers, chaves de serviço, artefatos em \Windows\Temp, configurações de navegador, eventos de rede e dados de EDR antes da remoção. A coleta prévia é importante porque a simples exclusão do arquivo pode ocultar a sequência de instalação e impedir correlação com o vetor de exploração inicial.
A contenção deve bloquear resolução e tráfego para os domínios defangados citados, remover ou desabilitar o driver malicioso por procedimento forense adequado, revisar a chave ligada ao safemon do 360Safe e restaurar configurações de navegador somente depois que a persistência de núcleo tiver sido eliminada. Em máquinas de alto risco ou sem visibilidade confiável de kernel, reconstrução do sistema a partir de imagem limpa pode ser mais segura do que tentar uma limpeza parcial, especialmente quando há indícios de manipulação de produtos de segurança.
Como o vetor informado envolve o RIG Exploit Kit, a mitigação estrutural depende de reduzir exposição a exploração no navegador e em componentes associados. Isso inclui manter navegadores e plugins legados atualizados ou removidos, restringir execução de conteúdo de risco, aplicar políticas de controle de aplicações, monitorar criação de drivers por processos de usuário e endurecer permissões para instalação de drivers. A validação pós-incidente deve confirmar ausência do driver, inexistência das chaves de persistência, normalidade da página inicial, ausência de substituição de conteúdo HTTP e bloqueio efetivo da infraestrutura conhecida.
- Isolar hosts com sinais de
houzi.sysantes de remover artefatos, preservando logs de driver, rede e navegador. - Bloquear os domínios defangados associados à coleta, configuração e página fraudulenta nos controles de DNS, proxy e firewall.
- Auditar drivers carregados no boot e investigar qualquer driver não assinado ou empacotado com comportamento compatível.
- Restaurar configurações de navegador somente após remover a persistência em nível de núcleo.
- Reforçar atualização de navegador e componentes exploráveis para reduzir a superfície usada por kits de exploração.
0 Comentários