Adwind RAT evolui em campanha de phishing contra empresas turcas

Campanha de malspam usa anexos Office antigos, injeção externa e JAR ofuscado para entregar um RAT multiplataforma com evasão geográfica, persistência e comunicação C&C.

Componente	Documentos XLS e CSV usados como isca, dropper Java JAR ofuscado e payload Adwind RAT multiplataforma.
Vetor	E-mails de phishing com anexo Office exigem interação do usuário para acionar referência externa ou fórmula que baixa o JAR malicioso.
Impacto	O RAT é configurado para coletar informações sensíveis, obter acesso remoto à máquina comprometida e enviar dados ao servidor C&C.
Prioridade	Bloquear execução de JAR originado de anexos, revisar telemetria de Office chamando interpretadores externos e caçar persistência em chave Run do usuário.
Artefatos	Foram observados nomes como `zpmqwjs.docx`, `wucgy3jecwgpv.svg`, `6da7uj4b4oi2a.pdf`, o usuário `5308682` e o repositório `ofxamz19` em infraestrutura abusada.
IoCs	Comunicação C&C observada com domínio defangado `21736[.]xyz` na porta TCP 1505, além de consulta a serviços públicos de IP para validação geográfica.
Persistência	Persistência descrita em `HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run`, mantendo o payload ativo após reinicialização.

Resumo técnico

Uma campanha de malspam em evolução mirou mais de 80 empresas turcas com uma cadeia que combina engenharia social por e-mail, anexos Office em formatos pouco comuns, download de um arquivo JAR ofuscado e instalação do Adwind RAT. O fluxo começa em mensagens de phishing com anexo XLS ou CSV. Esses documentos não carregam o payload final diretamente; eles funcionam como estágio inicial para buscar um arquivo Java malicioso hospedado em infraestrutura de distribuição abusada. A escolha de formatos antigos e de técnicas de injeção em planilhas reduz a visibilidade de ferramentas que dependem de parsers Office modernos ou de análise estática simples.

O diferencial técnico da campanha está na combinação de baixo ruído operacional com múltiplas camadas de evasão. O XLS usa formato BIFF5, uma específicação antiga, e inclui um registro de referência externa para provocar a recuperação do JAR. O CSV usa injeção por fórmula para chegar ao mesmo estágio. Em ambos os casos, a execução efetiva depende de interação do usuário, o que desloca a detecção para eventos de endpoint, telemetria do pacote Office, processos filhos e conexões de rede criadas após abertura do arquivo. O JAR baixado é intensamente ofuscado, dificultando descompilação por ferramentas Java comuns e mantendo baixa taxa de detecção em mecanismos de análise de amostras.

Após as verificações de ambiente, o payload final entrega Adwind RAT, malware multiplataforma associado a roubo de informações e controle remoto. A amostra descrita usa checagem de IP público, validação de país, consulta a produtos antivírus via utilitário do Windows e persistência no registro do usuário. A operação tenta limitar o comportamento real a vítimas compatíveis com o recorte geográfico da campanha, uma prática que prejudica sandboxes genéricas quando o ambiente de análise não aparenta estar na Turquia.

Fluxo técnico

A cadeia começa com uma mensagem de phishing cujo corpo tenta dar aparência de encaminhamento administrativo e aponta o anexo como documento recebido de uma pessoa responsável. O detalhe importante para defesa não é o texto da isca em si, mas o comportamento posterior do anexo. No caso XLS, o arquivo usa um registro de referência externa e células preenchidas com caracteres de lixo e caracteres especiais. Essa composição aumenta o custo de análise estática, porque o parser precisa lidar com uma versão antiga de BIFF e com conteúdo ruidoso que não carrega valor visual para o usuário, mas afeta a interpretação automatizada do documento.

O estágio de download aciona um processo de shell e PowerShell com janela oculta para recuperar um arquivo JAR nomeado de forma enganosa, como zpmqwjs.docx. A matéria não exige publicar a linha operacional completa para que a defesa entenda o risco: o comportamento relevante é uma aplicação Office iniciando cadeia de execução externa para buscar conteúdo Java remoto. No CSV, a técnica equivalente é injeção por fórmula. Esse padrão deve ser tratado como sinal de alta gravidade, especialmente quando a planilha abre conexão de rede ou inicia processo fora do fluxo esperado de edição de documento.

A distribuição do JAR foi feita por meio de GitHub Pages, serviço legítimo de hospedagem estática. O operador criou páginas e repositórios para servir variantes do mesmo arquivo malicioso sob nomes que simulam formatos diferentes, incluindo extensões associadas a documentos e imagens. Um usuário identificado como 5308682 aparece associado a 18 repositórios, e o repositório ofxamz19 foi apontado como o repositório usado na campanha observada. Para defesa, isso significa que bloquear apenas domínios desconhecidos não é suficiente: a cadeia abusa de infraestrutura confiável e exige inspeção de conteúdo, reputação de repositório, origem do download e relação com processos do Office.

O JAR contém ofuscação pesada. Ferramentas de descompilação Java citadas como incapazes de reconstruir completamente a amostra indicam que a lógica de execução foi protegida com chamadas dinâmicas, argumentos criptografados e uma função de descriptografia central, identificada como Gv. As chamadas de função passam por resolução dinâmica, e comparações são feitas entre valores criptografados. Essa arquitetura reduz a utilidade de assinaturas baseadas em strings simples e torna mais importante correlacionar comportamento de runtime, criação de processos, consulta a serviços externos, persistência e tráfego C&C.

Superfície afetada

A superfície exposta inclui usuários corporativos que recebem e abrem anexos Office vindos de e-mails de phishing, especialmente em organizações turcas ou com usuários localizados na Turquia. O recorte geográfico é tecnicamente importante porque o malware consulta serviços públicos para obter o IP externo e validar o país associado ao endereço. Se a condição geográfica não é atendida, a amostra evita revelar seu comportamento completo. Ambientes de sandbox fora do país-alvo podem, portanto, observar apenas parte do fluxo e subestimar a cadeia.

Os sistemas Windows aparecem no trecho de pós-execução por causa da consulta a produtos antivírus via infraestrutura de gerenciamento local, do uso de atributo de arquivo oculto e da persistência em chave Run do usuário. O Adwind em si é multiplataforma por ser baseado em Java, mas a telemetria fornecida no caso mostra ações específicas para Windows. O ponto de entrada continua sendo o usuário e o anexo, não uma exploração remota sem interação. A campanha, portanto, deve ser modelada como phishing com execução assistida pelo usuário e abuso de Java, em vez de exploração automática de serviço exposto.

A cadeia também amplia a superfície para controles de proxy, CASB, EDR e gateway de e-mail. A hospedagem em GitHub Pages pode passar por listas de permissão genéricas, enquanto extensões enganosas como .docx, .svg e .pdf para variantes de JAR podem confundir inspeções superficiais baseadas apenas em nome do arquivo. A defesa precisa validar tipo real de conteúdo, origem do processo que solicitou o download, reputação do repositório e comportamento do arquivo após execução.

Usuários que abrem anexos XLS ou CSV recebidos por phishing e permitem o fluxo de execução externo.
Endpoints Windows com Java disponível para iniciar o JAR e permitir execução do payload.
Gateways de e-mail e proxies que confiam em domínios de hospedagem legítima sem inspeção contextual do conteúdo.
Ambientes de análise fora da Turquia, que podem não observar o comportamento completo devido à checagem geográfica.

Hunting e telemetria

O hunting deve começar pela relação entre cliente de e-mail, processo Office e execução externa. Eventos em que Excel ou outro aplicativo Office inicia shell, PowerShell, Java ou processo de download merecem investigação, principalmente quando o arquivo original é XLS em formato antigo ou CSV com fórmula suspeita. A defesa deve revisar anexos recebidos, eventos de abertura, processos filhos, URL de download, tipo MIME real do conteúdo e hash do arquivo baixado. A ausência de detecção por antivírus não deve encerrar a análise, porque a campanha foi descrita com baixa taxa de detecção em motores públicos.

No endpoint, sinais úteis incluem execução de Java a partir de diretórios de usuário, criação de arquivo oculto por utilitário nativo do Windows, consulta a produtos antivírus e persistência em HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run. A consulta a serviços como checkip[.]amazonaws[.]com e ipinfo[.]io logo após a execução de um anexo pode indicar validação de ambiente. Esses serviços também podem ser usados por softwares legítimos, portanto a correlação precisa considerar o processo de origem, a sequência temporal e a proximidade com um documento Office aberto pelo usuário.

Na rede, o tráfego mais sensível é a tentativa de comunicação com o domínio C&C defangado 21736[.]xyz na porta TCP 1505. Também é útil procurar downloads vindos de páginas estáticas associadas a repositórios recém-criados ou pouco reputados, especialmente quando o conteúdo servido não corresponde à extensão aparente. Em proxy e DNS, a investigação deve buscar conexões iniciadas por processos incomuns, consultas imediatamente após abertura de documento e comunicação persistente após reinicialização da máquina.

Aplicativo Office criando processos externos para shell, PowerShell, Java ou download de arquivo remoto.
Arquivos JAR salvos com extensão enganosa, como nomes terminados em .docx, .svg ou .pdf sem corresponder ao tipo real.
Execução de Java seguida de consulta a IP público, validação de país e enumeração de antivírus instalado.
Persistência criada na chave Run do usuário e arquivo marcado como oculto no perfil da vítima.
Conexões para domínio C&C defangado 21736[.]xyz na porta TCP 1505 ou para infraestrutura estática usada como estágio de distribuição.

Mitigação

A resposta defensiva deve priorizar a interrupção da cadeia antes da execução do JAR. Gateways de e-mail precisam tratar anexos XLS legados e CSV com fórmulas como conteúdo de risco, principalmente quando a mensagem não vem de remetente confiável ou quando o documento tenta resolver referência externa. Controles de endpoint devem impedir que aplicativos Office iniciem interpretadores, shells e Java sem justificativa de negócio. Essa política reduz o impacto de técnicas que dependem de interação do usuário, sem depender exclusivamente de assinatura do arquivo final.

Em ambientes onde Java é necessário, a execução deve ser restrita por origem, assinatura, diretório permitido e perfil de aplicação. Arquivos JAR baixados a partir de anexos ou diretórios temporários devem ser bloqueados ou submetidos a análise dinâmica com ambiente que represente o país e o perfil da vítima quando houver suspeita de evasão geográfica. Para o caso observado, a validação defensiva deve incluir simulação controlada de telemetria, e não reprodução operacional da cadeia de ataque. O objetivo é confirmar sinais, não executar payload real.

A contenção de máquina suspeita deve incluir isolamento de rede, coleta de artefatos de processo, exportação das chaves de persistência relevantes, preservação de anexos e arquivos baixados, revisão de conexões recentes e redefinição de credenciais possivelmente acessadas no endpoint. Como o RAT é descrito com capacidade de roubo de informações e acesso remoto, a análise pós-incidente deve mapear quais contas estavam logadas, quais aplicações estavam abertas, quais segredos locais poderiam estar disponíveis e se houve comunicação sustentada com C&C. A recuperação só deve ocorrer depois de remover persistência, validar ausência de novos arquivos ocultos e confirmar que a máquina não tenta restabelecer comunicação externa suspeita.

Bloquear ou colocar em quarentena anexos XLS legados e CSV com fórmulas que invoquem recursos externos.
Aplicar regras de redução de superfície para impedir Office de iniciar shell, PowerShell, Java ou download remoto sem necessidade aprovada.
Inspecionar conteúdo real de arquivos baixados, não apenas extensão e nome apresentado ao usuário.
Caçar e remover persistência em HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run.
Bloquear comunicação com 21736[.]xyz na porta TCP 1505 e revisar logs históricos para conexões relacionadas.
Revisar repositórios e páginas estáticas usados como origem de download quando o acesso partir de processo Office ou Java.

Adwind RAT evolui em campanha de phishing contra empresas turcas

Postar um comentário

0 Comentários

Mais lidas da semana

Boletim semanal reúne violações, phishing, vulnerabilidades exploradas e campanhas contra telecom

npm adiciona publicação com 2FA e controles de instalação contra ataques à cadeia de software

Recapitulação técnica reúne falhas em Linux, Defender, Drupal, roteadores e cadeia de suprimentos

Boletim semanal reúne vazamentos, ransomware, falhas críticas e abuso de IA em campanhas de phishing

Grafana expõe código-fonte após comprometimento de token em ataque ao ecossistema npm

Plantão de ameaças

Receba alertas

Comunidade

Assuntos

Menu Footer Widget

Contato

Adwind RAT evolui em campanha de phishing contra empresas turcas

Talvez você goste destas postagens

Postar um comentário

0 Comentários

Siga o Cyber Guardian News

Mais lidas da semana

Boletim semanal reúne violações, phishing, vulnerabilidades exploradas e campanhas contra telecom

npm adiciona publicação com 2FA e controles de instalação contra ataques à cadeia de software

Recapitulação técnica reúne falhas em Linux, Defender, Drupal, roteadores e cadeia de suprimentos

Boletim semanal reúne vazamentos, ransomware, falhas críticas e abuso de IA em campanhas de phishing

Grafana expõe código-fonte após comprometimento de token em ataque ao ecossistema npm

Plantão de ameaças

Receba alertas

Briefing global de ameaças

Comunidade

Assuntos

Menu Footer Widget

Contato