O módulo Tldr atua como carregador da botnet Phorpiex, instala persistência no Windows, altera a área de transferência para substituir carteiras de criptomoedas e, em versões mais recentes, infecta executáveis em unidades removíveis e remotas.
| Componente | Botnet Phorpiex e seu carregador Windows Tldr, também associado ao nome TrikLoader. |
| Vetor | Máquinas Windows já infectadas recebem módulos executáveis adicionais; a propagação ocorre por cópias em unidades removíveis e remotas, simulação de interação contra VNC com senhas fracas em outro módulo e infecção de arquivos PE no Tldr v5. |
| Impacto | Execução de módulos maliciosos, persistência por autorun, enfraquecimento de recursos de segurança do Windows, alteração de carteiras de criptomoedas na área de transferência e contaminação de executáveis em mídias acessíveis. |
| Prioridade | Isolar hosts com sinais de Tldr, revisar autoruns e chaves de segurança modificadas, inspecionar unidades removíveis ou compartilhamentos e validar arquivos PE marcados com artefatos de infecção. |
| Versões | Há múltiplas variantes de Tldr; a versão TldrV3 foi observada em maio de 2018 e a versão Tldr v5.0 em julho de 2019 adicionou funções como privilégio de depuração, desativação de controles de segurança e infecção de executáveis. |
| Artefatos | Mutex com nome fixo ou numérico por campanha, pasta __, arquivo DriveMgr.exe, seção PE .zero, TimeDateStamp 0x0000DEAD, valor de autorun Windows Operating System e remoção de :Zone.Identifier. |
Phorpiex aparece como uma botnet Windows de grande escala, com mais de 1.000.000 de computadores infectados no período descrito. O componente central analisado é o Tldr, um carregador responsável por entregar módulos adicionais e outros programas maliciosos aos sistemas já comprometidos. A arquitetura favorece atualização operacional simples: a configuração fica embutida nos executáveis, incluindo endereços de servidores de comando e controle, carteiras de criptomoedas e URLs usadas para buscar cargas adicionais. Quando os operadores precisam mudar esses parâmetros, eles distribuem um novo módulo para os hosts infectados, em vez de depender de uma configuração externa estável no disco da vítima.
O desenho modular explica parte da persistência da botnet. Cada módulo é um executável Windows separado, geralmente pequeno e com lógica direta, mas o conjunto cobre funções de carregamento, propagação e monetização. Três componentes citados têm capacidade de disseminação: Tldr, VNC Worm e NetBIOS Worm. O Tldr pode atuar como verme em unidades removíveis e remotas e, nas versões mais recentes analisadas, também como vírus infectador de arquivos. O VNC Worm tenta alcançar servidores VNC protegidos por senhas fracas e interagir com eles de forma automatizada para introduzir a infecção. Esse acúmulo de mecanismos de expansão ajuda a explicar a prevalência elevada sem exigir um único vetor dominante.
A atribuição técnica entre Tldr e o ecossistema Phorpiex se apoia em semelhanças de código binário, nomes de mutex, técnicas de evasão de sandbox e interseções de infraestrutura de comando e controle com o bot Trik IRC. O nome Tldr é tratado como provável referência a TrikLoader. A função principal continua sendo baixar e executar módulos em hosts comprometidos, mas a análise mostra que o carregador também participa diretamente da persistência, da evasão, da alteração de recursos de segurança, da propagação por mídia acessível e do roubo oportunista de criptomoedas por manipulação da área de transferência.
Ao iniciar, o Tldr executa verificações simples para reduzir execução em ambientes de análise. Ele consulta módulos carregados no próprio processo com GetModuleHandle, enumera processos em execução e chama IsDebuggerPresent para identificar depuração. O texto técnico disponível não enumera todos os nomes verificados, portanto a observação defensiva deve se concentrar no padrão de comportamento: checagem de módulos, inspeção de processos e saída condicionada quando o ambiente aparenta ser sandbox ou depurador. Esse conjunto não é sofisticado, mas pode ser suficiente para alterar resultados em pipelines automatizados de detonação pouco instrumentados.
Depois da etapa inicial, o malware evita múltiplas instâncias por meio de mutex. Variantes antigas usavam nomes que continham a versão, como TldrV3, enquanto versões mais novas adotavam nomes diferentes por campanha, frequentemente formados por dígitos. Em seguida, remove o fluxo alternativo :Zone.Identifier, reduzindo evidências locais de que o arquivo veio de uma origem não confiável. Na versão de julho de 2019, o Tldr v5.0 também tenta obter privilégio de depuração, capacidade que pode ampliar o alcance de manipulação sobre processos e dificultar a análise em sistemas onde esse privilégio é concedido ao processo malicioso.
A persistência combina cópia do executável, atributos ocultos e autorun no Registro. Em versões antigas, o malware criava subpastas com nomes fixos iniciados por T- em caminhos selecionados e copiava o binário com nome embutido. Na versão mais recente descrita, a persistência só é configurada quando o nome do arquivo não contém a substring sys; nesse caso, o malware gera uma subpasta com dígitos aleatórios e um arquivo iniciado por sys seguido de quatro letras aleatórias. Tanto a pasta quanto o arquivo recebem atributos de somente leitura, oculto e sistema. A entrada de execução automática usa um valor de Registro com nome fixo no exemplo analisado, Windows Operating System. Também há criação de exceção de firewall em chave de política do Windows.
A monetização por criptomoeda ocorre por monitoramento contínuo da área de transferência. O Tldr consulta o conteúdo textual a cada 200 milissegundos com APIs de clipboard, aplica validações para decidir se o texto parece uma carteira e, se as verificações passarem, substitui o valor por uma carteira embutida no executável. A identificação do tipo de carteira usa o primeiro caractere do conteúdo copiado. Esse fluxo não exige roubo direto de arquivos ou credenciais: ele explora o hábito de usuários copiarem endereços de pagamento antes de uma transação. Para a defesa, o impacto confirmado é adulteração local de dados copiados e possível redirecionamento de pagamentos quando a vítima não confere o endereço final.
A propagação por unidades removíveis e remotas é executada em loop. O malware enumera discos disponíveis com GetLogicalDrives, considera a política NoDrives para ignorar unidades ocultadas pelo Explorer e seleciona mídias removíveis ou caminhos remotos. Em cada unidade selecionada, cria a pasta __, define atributos para ocultação no Explorer, copia a si mesmo com nome como DriveMgr.exe e cria um atalho no diretório raiz usando o nome do volume. Em seguida, move pastas da raiz para __ e remove arquivos da raiz com extensões frequentemente usadas por outros vermes e scripts, como atalhos, scripts e executáveis auxiliares. A provável finalidade é assumir o vetor de mídia e reduzir concorrência de outros códigos maliciosos na mesma unidade.
O Tldr v5.0 introduz um comportamento adicional: infecção de executáveis PE em unidades removíveis e remotas. O malware percorre diretórios nessas mídias e altera arquivos .exe ainda não marcados. A modificação incrementa o número de seções no cabeçalho PE, grava o TimeDateStamp 0x0000DEAD, cria a seção .zero, copia a carga maliciosa para essa nova seção, altera o ponto de entrada para o início do código inserido e ajusta o SizeOfImage. O checksum não é recalculado, sendo zerado. O valor 0x0000DEAD também serve como marcador para evitar reinfecção do mesmo arquivo.
A superfície principal envolve computadores Windows já alcançados pela botnet e qualquer mídia removível ou unidade remota visível a esses hosts. Como o Tldr é um carregador, a presença dele não deve ser tratada como um artefato isolado: ela indica capacidade de receber módulos adicionais, trocar configuração por novo executável e executar cargas associadas ao operador. Ambientes com compartilhamentos de rede, uso frequente de USB, estáções com permissões amplas sobre pastas compartilhadas e hosts que manipulam transações com criptomoedas ficam mais expostos aos comportamentos descritos.
As alterações no Registro ampliam o impacto operacional. Entradas de autorun mantêm execução após reinicialização ou novo logon, exceções de firewall podem reduzir bloqueios locais, e a versão Tldr v5.0 altera valores sob HKLM\SOFTWARE\Microsoft\Security Center\Svc para sobrescrever ou suprimir notificações relacionadas a antivírus, atualizações e firewall. Também modifica HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore para desativar restauração do sistema. Esses ajustes não provam, por si só, movimentação lateral ou exfiltração de dados, mas reduzem visibilidade e dificultam recuperação local se a infecção permanecer ativa.
- Hosts Windows com mutex compatível com campanhas Tldr e cópias persistentes em subpastas ocultas com nomes iniciados por
sysou padrões antigos iniciados porT-. - Unidades removíveis ou remotas contendo pasta
__, atalho com nome do volume e cópia maliciosa comoDriveMgr.exe. - Arquivos PE com seção
.zero, ponto de entrada alterado, checksum zerado e TimeDateStamp0x0000DEAD. - Estáções usadas para transações com criptomoedas, nas quais a alteração silenciosa da área de transferência pode redirecionar endereços copiados.
A investigação deve combinar sinais de endpoint, Registro, sistema de arquivos, mídia removível, alterações em PE e comportamento de clipboard. O padrão mais forte não é um único nome de arquivo, pois variantes e campanhas usam nomes diferentes; é a sequência de ações: criação de mutex, remoção de :Zone.Identifier, cópia para diretório oculto, criação de autorun, alteração de políticas de segurança, varredura periódica de unidades e criação de atalhos que redirecionam o usuário para a cópia maliciosa. Em estáções com EDR, a correlação temporal entre esses eventos ajuda a separar manutenção legítima de atividade maliciosa.
Em análise de arquivos, o marcador TimeDateStamp 0x0000DEAD transformado em data de 1970-01-01 15:50:05 é relevante para triagem de executáveis infectados. A presença da seção .zero em arquivos que não deveriam ter seção adicional, junto com ponto de entrada deslocado para essa seção, reforça suspeita de contaminação. A simples existência de uma seção com esse nome não deve ser usada isoladamente como condenação automática, mas, quando combinada com checksum zerado e origem em unidade removível ou remota, forma um indicador técnico consistente com o comportamento descrito.
No Registro, procure o valor de autorun Windows Operating System quando ele estiver associado a binário em diretório suspeito, além de alterações nos valores de sobrescrita e notificação do Security Center. A criação de exceção em SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List\ também deve ser revisada quando apontar para binários recém-criados por processo desconhecido. Para a área de transferência, alertas devem ser comportamentais: processos não interativos realizando consultas em alta frequência e chamando APIs de alteração de dados de clipboard enquanto não pertencem a softwares legítimos de produtividade ou acessibilidade.
- Eventos de criação de mutex com nome
TldrV3ou nomes puramente numéricos ligados ao mesmo processo que cria persistência. - Remoção do fluxo
:Zone.Identifierlogo após execução de binário suspeito. - Criação de pasta
__oculta em unidade removível ou remota, seguida de atalho com nome do volume. - Modificações em PE com TimeDateStamp
0x0000DEAD, seção.zero, novo ponto de entrada e checksum zerado. - Consultas repetidas à área de transferência por processo sem interface visível, com substituição de texto compatível com endereço de carteira.
A resposta deve começar pelo isolamento dos hosts que exibem persistência, alteração de políticas de segurança ou infecção de executáveis em mídias compartilhadas. Como o Tldr atua como carregador, a remoção precisa considerar módulos adicionais já entregues ao sistema. Desconectar temporariamente unidades removíveis, mapear compartilhamentos acessíveis e preservar amostras para análise interna ajuda a impedir que a limpeza de um host seja anulada por recontaminação a partir de mídia infectada. Em paralelo, restaure a postura de segurança local verificando Windows Defender, notificações de segurança, política de firewall e System Restore quando aplicável.
A limpeza de unidades deve ser criteriosa. A presença da pasta __ e de atalhos na raiz indica que pastas legítimas podem ter sido movidas, portanto apagar a mídia sem inventário pode causar perda operacional. O procedimento defensivo deve identificar a cópia maliciosa, remover atalhos criados pelo malware, restaurar a estrutura esperada das pastas e examinar executáveis .exe antes de recolocá-los em uso. Arquivos PE marcados com o padrão de infecção não devem ser confiados apenas porque ainda executam a aplicação original; o fluxo descrito preserva chamada ao ponto de entrada legítimo por meio de um adaptador, permitindo que o programa pareça funcional enquanto carrega código inserido.
Para reduzir recorrência, limite escrita em compartilhamentos, controle uso de mídias removíveis, aplique políticas de senha fortes em VNC e revise onde VNC ainda é necessário. A análise informa que outro módulo do mesmo ecossistema tenta interagir com servidores VNC com senhas fracas, então a exposição desse serviço deve ser tratada como fator de amplificação, mesmo que o Tldr analisado tenha seu próprio caminho de propagação. Em estáções usadas para criptoativos, implemente verificação fora de banda dos endereços de destino e monitore processos que acessam o clipboard em frequência incompatível com o uso humano normal.
A erradicação deve terminar com validação técnica, não apenas remoção aparente do arquivo inicial. Confirme ausência de autoruns suspeitos, reverta valores de segurança modificados, verifique se a exceção de firewall foi removida, inspecione mídias conectadas recentemente e faça varredura de executáveis em compartilhamentos que tenham sido montados por hosts infectados. Como as configurações são embutidas nos módulos e podem variar por campanha, controles baseados somente em nomes de arquivo ou carteiras hardcoded terão cobertura limitada. A estratégia mais robusta é combinar artefatos estáticos, comportamento de persistência e telemetria de propagação.
- Isolar máquinas com sinais de Tldr antes de conectar novas mídias removíveis ou acessar compartilhamentos comuns.
- Remover autoruns suspeitos e restaurar configurações de antivírus, atualização, firewall e restauração do sistema alteradas pelo malware.
- Inventariar e limpar unidades com pasta
__, atalhos criados pelo malware e cópias comoDriveMgr.exe. - Revalidar arquivos
.exeem unidades removíveis e remotas, priorizando os que exibem TimeDateStamp0x0000DEADe seção.zero. - Endurecer VNC com senhas fortes, restrição de exposição e revisão de necessidade operacional do serviço.
0 Comentários