O carregador malicioso foi anunciado em fóruns da dark web por US$ 500 e concentra recursos de download remoto, evasão por interfaces COM, verificação RSA-2048 de respostas do servidor e planos de módulos para propagação, keylogging e roubo de senhas.
| Componente | Godzilla Loader, um downloader/dropper para Windows anunciado em fóruns da dark web. |
| Vetor | Execução inicial de um binário que não carrega o payload final embutido e obtém instruções ou conteúdo de um servidor remoto de C&C. |
| Impacto | Download de payloads adicionais, tentativa de elevação por desvio de UAC, persistência por interfaces COM e remoção automática de cópias shadow para prejudicar recuperação em cenários de ransomware. |
| Prioridade | Investigar execução anômala de componentes COM, chamadas associadas a janelas AtlaxWin invisíveis, alterações de registro compatíveis com desvio de UAC e remoção inesperada de cópias shadow. |
| Canais C2 | Comunicação primária com servidor remoto, fallback por DGA e segundo fallback por hashtags pseudoaleatórias no Twitter para anunciar novos domínios de C&C. |
| Artefatos | Uso de eventvwr.exe, IWebBrowser2, IHTMLDocument3, IHTMLElementCollection, IHTMLElement, IPersistFile, IShellDispatch e verificação de respostas com RSA-2048. |
Godzilla Loader é um carregador malicioso para Windows descrito como um downloader ou dropper: o primeiro binário executado no host não contém o payload final e depende de comunicação remota para obter conteúdo, ordens ou componentes adicionais. Essa separação reduz a quantidade de funcionalidade ofensiva visível no arquivo inicial e cria uma camada de indireção entre a infecção inicial e a etapa que efetivamente executa a carga útil. O malware foi anunciado em fóruns da dark web por US$ 500, com desenvolvimento ativo e acréscimo periódico de recursos, em contraste com famílias mais estabelecidas do mesmo nicho.
A característica mais marcante do Godzilla Loader é o uso consistente de interfaces COM em funções centrais. Em vez de depender apenas de APIs de rede mais comuns em malware Windows, o carregador utiliza objetos e interfaces do próprio ambiente Windows para acionar navegação, coletar resposta do servidor, executar programas locais e manter persistência. Essa escolha aumenta a complexidade da análise comportamental, porque desloca parte do fluxo para componentes legítimos do sistema e para abstrações normalmente vistas em automação, renderização ou integração de aplicativos.
A adoção observada era baixa em comparação com Emotet, com medições indicando volume diário de vítimas muito menor. Mesmo assim, o conjunto de recursos é tecnicamente relevante para defesa porque mostra como atores de menor escala podem combinar funções de evasão, comunicação redundante, verificação criptográfica de comandos e capacidades voltadas a estágios posteriores. O risco não está apenas na prevalência imediata, mas na possibilidade de esse tipo de carregador aparecer em ambientes corporativos como peça intermediária de campanhas com payloads variados.
O fluxo inicial do Godzilla Loader parte de um binário que atua como intermediário. A carga principal não precisa estar presente no executável inicial, e o carregador consulta infraestrutura remota para recuperar conteúdo ou instruções. Esse modelo dificulta conclusões baseadas apenas em análise estática do arquivo de entrada, já que o comportamento efetivo depende do servidor de C&C, da disponibilidade da infraestrutura e das respostas entregues em tempo de execução. Para defesa, isso desloca a investigação para correlação entre execução de processo, atividade COM, tráfego de rede e artefatos criados depois da comunicação.
A comunicação com C&C usa uma cadeia incomum baseada em COM. O malware cria uma janela invisível de 0x0 pixel associada à classe AtlaxWin, obtém uma interface IWebBrowser2, navega até a URL do C&C, aguarda estado de prontidão e acessa o documento retornado. Em seguida, usa interfaces relacionadas ao documento HTML para coletar dados embutidos na resposta do servidor. A importância defensiva desse desenho está no desvio de padrões simples de detecção que procuram chamadas diretas a APIs de rede, porque parte da interação passa por componentes de automação e renderização que também existem em fluxos legítimos.
O carregador também incorpora um desvio de UAC baseado em comportamento de eventvwr.exe. A técnica explora a forma como o processo privilegiado consulta uma chave de registro relacionada ao Microsoft Management Console, chave que pode ser alterada sem exigência de privilégio administrativo. Quando essa condição é manipulada, um executável escolhido pelo operador pode ser iniciado com privilégios elevados. O ponto defensivo é que a presença de UAC não deve ser tratada como fronteira robusta de segurança; a investigação precisa observar alterações de registro sensíveis, execução de binários privilegiados fora de padrões administrativos normais e encadeamentos de processo que surgem logo depois da execução do carregador.
Outro recurso observado é a remoção automática de cópias shadow do sistema. Essa função é especialmente associada a cenários em que um payload posterior tenta dificultar recuperação de arquivos, como ransomware. O Godzilla Loader não precisa, por si só, executar a criptografia final para tornar esse comportamento relevante: se o carregador prepara o ambiente removendo mecanismos de recuperação, ele aumenta o impacto de estágios posteriores. Como o próprio recurso é desnecessário para muitas campanhas de download simples, sua presença sugere preocupação com payloads que dependem de negação de recuperação ou de persistência do dano.
A superfície principal é composta por estáções Windows nas quais o binário inicial do Godzilla Loader consiga executar código em contexto de usuário. A técnica de desvio de UAC descrita depende de comportamento de componentes do Windows e de escrita em chave de registro consultada por eventvwr.exe, portanto ambientes que permitem execução de binários não confiáveis e não monitoram alterações de registro em áreas sensíveis ficam mais expostos. O risco aumenta quando usuários locais têm permissões suficientes para iniciar processos, manipular chaves usadas por componentes do sistema e acessar a rede de saída sem inspeção adequada.
O desenho do malware também amplia a superfície para ferramentas de segurança que dependem de indicadores simples. Como o carregador usa COM para comunicação e manipulação de documentos, telemetrias que registram apenas conexões por APIs tradicionais podem perder parte do encadeamento. A persistência via IPersistFile e execução local por IShellDispatch exigem visibilidade sobre automação COM, objetos instanciados por processos incomuns e chamadas que não fazem parte do perfil normal de aplicações corporativas. Isso é especialmente importante em ambientes com muitos aplicativos legados, nos quais COM pode ser usado legitimamente e a detecção precisa combinar contexto de processo, usuário e destino de rede.
A infraestrutura de C&C tem redundância em camadas. Se a comunicação principal falha, o malware recorre a um algoritmo de geração de domínios; se esse caminho também falha, consulta o Twitter em busca de hashtag pseudoaleatória derivada do dia para localizar novos domínios anunciados pelo operador. Esse modelo cria dependência de DNS, tráfego web e acesso a plataforma pública, e torna bloqueios pontuais menos eficazes quando não há controle sobre resolução, navegação e destinos externos.
- Hosts Windows com execução de binários não confiáveis e baixa visibilidade de automação COM.
- Ambientes que permitem alteração de chaves de registro usadas por componentes privilegiados sem alerta operacional.
- Redes que liberam tráfego web de saída, resolução DNS dinâmica e acesso a plataformas públicas sem correlação com processo de origem.
- Sistemas em que remoção de cópias shadow não gera alerta de alto risco.
A caça deve começar pela correlação entre processo inicial, criação de objetos COM e tráfego de saída. Um sinal relevante é a presença de janelas AtlaxWin invisíveis criadas por processos que não são navegadores, ferramentas administrativas conhecidas ou aplicações internas autorizadas. A sequência defensiva a investigar inclui instanciamento de IWebBrowser2, navegação para destino externo, coleta de documento HTML e extração de texto por interfaces como IHTMLDocument3 e IHTMLElement. Isoladamente, esses artefatos podem existir em automações legítimas; combinados com binário recém-executado, destino desconhecido e alteração de persistência, tornam-se forte evidência de carregador.
No endpoint, eventos de processo devem ser cruzados com alterações de registro relacionadas ao fluxo de eventvwr.exe. A execução desse binário seguida de processo filho inesperado, especialmente quando precedida por escrita em chave consultada pelo Microsoft Management Console, merece investigação. A detecção também deve olhar para remoção de cópias shadow e para qualquer tentativa de reduzir capacidade de recuperação local. Esse comportamento deve ser tratado como sinal de preparação para impacto, mesmo quando ainda não há criptografia de arquivos observada.
Na rede, a redundância de C&C exige olhar além de uma URL única. A defesa deve procurar padrões de falha de conexão seguidos de consultas a domínios gerados, mudanças repentinas no perfil DNS do host e acesso automatizado ao Twitter em contexto de processo que não corresponde a navegador interativo. Como o contexto descreve hashtags pseudoaleatórias dependentes do dia, a investigação deve priorizar metadados, sequência temporal e processo de origem, em vez de publicar ou depender de uma lista estática de indicadores.
A verificação RSA-2048 das respostas do servidor reduz a utilidade de sequestro simples do domínio para emissão de comandos falsos, mas não reduz o risco para a organização infectada. Para defesa, isso significa que sinkhole ou takeover de domínio pode interromper a operação sem permitir controle confiável do malware. A telemetria deve registrar quando a comunicação falha, quando o DGA é acionado e quando ocorre tentativa de localizar novo C&C por canal público.
- Processo não esperado criando janela 0x0 associada à classe AtlaxWin.
- Uso de
IWebBrowser2ou interfaces HTML por binários sem função legítima de navegação ou automação. - Execução de
eventvwr.execom encadeamento de processo anômalo após alteração de registro sensível. - Remoção de cópias shadow fora de janela administrativa aprovada.
- Falhas de C&C seguidas por consultas DNS variáveis ou acesso automatizado ao Twitter.
A resposta deve tratar o Godzilla Loader como estágio inicial de comprometimento, não como artefato isolado. A contenção começa pelo isolamento do host afetado, preservação de memória e coleta de artefatos de execução, registro, tarefas de persistência, histórico de rede e eventos de criação de processo. Como o carregador foi projetado para buscar payloads remotos, a ausência de payload no binário inicial não encerra a investigação. É necessário determinar se houve resposta válida do C&C, se algum componente adicional foi baixado, se privilégios foram elevados e se cópias shadow foram removidas.
A mitigação preventiva depende de reduzir execução não controlada e aumentar visibilidade de componentes nativos abusáveis. Controle de aplicação, bloqueio de execução em diretórios de usuário, filtragem de saída por processo, inspeção DNS e alertas para uso incomum de COM reduzem o espaço de operação do carregador. O desvio de UAC reforça que privilégio administrativo não deve depender de prompts visuais; ambientes corporativos precisam aplicar menor privilégio, separar contas administrativas e monitorar alterações de registro que influenciam componentes privilegiados.
Para recuperação, a equipe deve validar integridade de backups, revisar eventos de remoção de cópias shadow e confirmar se mecanismos de restauração permanecem disponíveis. Quando houver evidência de módulos adicionais, a resposta deve se expandir para busca de keylogging, roubo de senhas, propagação e persistência. O contexto descreve planos para ecossistema de plugins com módulo de propagação, keylogger e roubo de senhas; portanto, credenciais usadas no host afetado devem ser tratadas como potencialmente expostas apenas quando houver sinais de execução desses módulos ou de coleta de credenciais. A rotação deve priorizar contas ativas no sistema comprometido, contas com privilégio e credenciais usadas em sessões próximas ao período de infecção.
- Isolar hosts com execução confirmada ou suspeita do carregador e preservar evidências antes de limpeza.
- Correlacionar execução inicial com C&C, DGA, acesso a Twitter, alterações de registro, COM e remoção de cópias shadow.
- Aplicar controle de aplicação e restringir execução de binários em caminhos graváveis por usuário.
- Alertar para
eventvwr.exeem cadeias de processo anômalas e para escrita em chaves associadas ao Microsoft Management Console. - Revisar backups e mecanismos de recuperação quando houver qualquer indício de remoção de cópias shadow.
0 Comentários