A operação usa documentos ZIP com modelo externo, macros VBA e PowerShell para montar e executar uma variante reduzida do RAT Bandook, com comunicação C2 cifrada e executáveis assinados.
| Componente | Cadeia de infecção baseada em documento Microsoft Word, macros VBA, PowerShell e backdoor Bandook escrito em Delphi e C++. |
| Vetor | Documento Word malicioso entregue dentro de arquivo ZIP, com modelo externo que baixa macros por encurtadores de URL e domínio controlado pelo operador. |
| Impacto | Execução do Bandook no endpoint, injeção por Process Hollowing em processo do Internet Explorer, envio de informações básicas da máquina e espera por comandos do servidor C2. |
| Prioridade | Bloquear execução de macros não confiáveis, investigar documentos com modelos externos, revisar PowerShell iniciado por Office e validar executáveis assinados usados fora do padrão esperado. |
| Artefatos | Foram observados artefatos como fmx.ps1, sdmc.jpg, a.png, b.png, untitled.png e draft.docx, com nomes sujeitos a variação entre infecções. |
| Técnicas | Uso de dados criptografados dentro de objeto de forma no documento, PowerShell codificado em Base64, imagem com função RC4 embutida em valores RGB e limpeza de artefatos na pasta pública do usuário. |
O Bandook voltou a aparecer em uma onda de campanhas direcionadas com uma cadeia de infecção estruturada em múltiplos estágios. A atividade parte de um documento Microsoft Word distribuído em arquivo ZIP e depende de um modelo externo para carregar macros VBA que não ficam diretamente visíveis para a vítima. O documento inicial contém dados maliciosos criptografados em um objeto de forma ocultado visualmente, enquanto o modelo externo fornece o código que recupera, decifra e grava os próximos componentes no perfil local do usuário.
A carga final é uma variante do Bandook, um RAT antigo que surgiu originalmente como ferramenta comercial e passou por diferentes vazamentos de construtores ao longo dos anos. A amostra descrita nessa campanha não corresponde diretamente às variantes públicas mais conhecidas e foi observada em formato reduzido, com apenas 11 comandos, em contraste com variantes anteriores que suportavam cerca de 120 comandos. A redução da superfície funcional, combinada com assinatura digital por certificados válidos emitidos pela Certum, indica uma tentativa de diminuir ruído operacional e dificultar a triagem baseada apenas em reputação de arquivo.
A operação também chama atenção pela variedade de setores e países atingidos. Foram citados alvos em governo, finanças, energia, indústria alimentícia, saúde, educação, tecnologia da informação e instituições jurídicas, com atividade em Singapura, Chipre, Chile, Itália, Estados Unidos, Turquia, Suíça, Indonésia e Alemanha. A amplitude do conjunto de vítimas sustenta a hipótese de que a infraestrutura ofensiva associada ao Bandook não pertence necessariamente a um único operador final, mas pode ser oferecida por um terceiro a diferentes clientes ou grupos.
A primeira etapa começa quando a vítima abre o documento Word dentro do ZIP. O arquivo usa o recurso de modelo externo para buscar um segundo documento por meio de serviços de encurtamento, como TinyURL ou Bitly, que redirecionam para um domínio controlado pelo operador. O modelo externo contém o VBA responsável por acionar a cadeia, mas a lógica principal depende de dados presentes no documento inicial. Essa separação torna a análise forense mais difícil, porque o documento entregue e o modelo remoto precisam ser correlacionados para reconstruir o comportamento completo.
Depois da ativação das macros, o código VBA decifra dados embutidos no documento original e grava dois arquivos na pasta local do usuário: fmx.ps1, usado como próximo estágio em PowerShell, e sdmc.jpg, que contém PowerShell codificado em Base64. O script fmx.ps1 decodifica o conteúdo armazenado no arquivo com extensão de imagem e executa a lógica seguinte. A extensão .jpg, nesse caso, não deve ser interpretada como prova de imagem legítima; ela funciona como disfarce para conteúdo de script.
O estágio em PowerShell baixa um arquivo ZIP de serviços em nuvem, incluindo ambientes como Dropbox, Bitbucket ou buckets S3, e o extrai na pasta pública do usuário. A partir de três arquivos com nomes de imagem, o script monta a carga maliciosa final. Um desses arquivos, untitled.png, é uma imagem válida e contém uma função RC4 escondida nos valores RGB dos pixels, técnica associada ao uso de invoke-PSImage. Esse modelo permite carregar lógica dentro de um artefato que aparenta ser mídia, reduzindo a eficácia de inspeções superficiais baseadas apenas em extensão ou tipo visual.
Após montar o executável, o script inicia o malware, abre draft.docx como documento benigno e remove artefatos anteriores da pasta pública. O documento final serve para manter a interação da vítima plausível, sugerindo que o conteúdo esperado foi aberto ou que o documento original não está mais disponível. O Bandook então inicia um carregador em Delphi que cria uma instância do Internet Explorer e injeta a carga por Process Hollowing. Depois da injeção, a carga entra em contato com o servidor C2, transmite informações básicas do host infectado e permanece aguardando instruções adicionais.
A superfície de risco está concentrada em estáções Windows nas quais documentos Office recebidos de origem externa podem acionar macros ou buscar modelos remotos. Ambientes que ainda permitem execução de macros por documentos obtidos fora de canais confiáveis ficam mais expostos, especialmente quando a inspeção de e-mail, proxy ou EDR não correlaciona o arquivo inicial com requisições subsequentes para modelos externos. A campanha explora justamente essa fragmentação: parte do conteúdo malicioso está no documento entregue, outra parte é resolvida em tempo de execução.
A presença de serviços legítimos no fluxo, como encurtadores e plataformas de armazenamento em nuvem, aumenta a complexidade operacional para defesa. Bloqueios genéricos podem causar impacto de negócio, enquanto permissões amplas podem permitir que documentos maliciosos recuperem componentes sem passar por controles mais restritivos. Também há risco de falsa confiança em executáveis assinados, já que as amostras mais recentes foram encontradas com certificados válidos emitidos pela Certum. Assinatura digital, nesse caso, deve ser tratada como um atributo de contexto e não como garantia de legitimidade.
Os temas de isca observados usam serviços de nuvem e identidade corporativa, como Office365, OneDrive e Azure, para induzir interação com o botão de habilitação de conteúdo. Um exemplo citado envolvia logotipo do Office365 e prévia de certificado ligado ao governo de Dubai e à Jebel Ali Free Zone. A seleção desses temas sugere adaptação social ao público-alvo, com documentos que simulam conteúdo administrativo, corporativo ou governamental.
- Estáções Windows com Microsoft Word e política permissiva para macros ou modelos externos.
- Usuários que recebem documentos ZIP por e-mail, mensageria corporativa ou canais de colaboração.
- Controles que confiam excessivamente em assinatura digital sem analisar comportamento pós-execução.
- Ambientes que permitem PowerShell iniciado por processos do Office sem alerta contextual.
A investigação deve começar pela correlação entre documentos Office, modelos externos e processos filhos. Eventos em que WINWORD.EXE inicia PowerShell, grava arquivos em diretórios de usuário ou acessa encurtadores de URL devem receber prioridade. O encadeamento é mais relevante do que qualquer artefato isolado: documento em ZIP, resolução de modelo externo, criação de fmx.ps1 ou sdmc.jpg, download de ZIP por PowerShell e extração na pasta pública formam uma sequência de alto valor para detecção.
Na telemetria de endpoint, a defesa deve procurar arquivos com extensões de imagem que contenham dados não compatíveis com o uso esperado, especialmente quando manipulados por PowerShell. A presença de untitled.png como imagem válida com lógica codificada nos valores RGB mostra que a detecção não pode depender apenas de MIME, extensão ou visualização. Eventos de leitura e concatenação de arquivos a.png, b.png e untitled.png, seguidos da criação de executável, são sinais fortes de montagem de carga.
Outro ponto de caça é a criação de processo do Internet Explorer associada a injeção ou comportamento anômalo. O carregador do Bandook usa Process Hollowing para executar a carga dentro de uma instância desse processo, portanto a telemetria de EDR deve ser revisada para criação suspensa de processo, manipulação de memória, alteração de contexto de thread e conexão de rede iniciada por um processo que não combina com o padrão do usuário. A comunicação C2 foi atualizada para usar AES, então a inspeção de conteúdo pode ser limitada; por isso, metadados de processo, destino, frequência e sequência temporal são fundamentais.
WINWORD.EXEacionando PowerShell após abertura de documento recebido em ZIP.- Requisições para modelos externos por meio de encurtadores e redirecionamento para domínio controlado pelo operador.
- Criação de arquivos
fmx.ps1,sdmc.jpg,a.png,b.png,untitled.pngoudraft.docxem pastas de usuário ou pasta pública. - PowerShell baixando ZIP de serviços em nuvem e montando executável localmente.
- Internet Explorer iniciado fora do padrão normal e associado a injeção de processo ou conexão C2.
A resposta deve priorizar a redução da superfície de execução de documentos ativos. Macros de documentos obtidos da internet ou de remetentes não confiáveis devem ser bloqueadas por política, e o uso de modelos externos precisa ser monitorado ou restringido quando não houver necessidade operacional. Em ambientes onde macros ainda são usadas por processos de negócio, a exceção deve ser controlada por assinatura, local confiável e inventário de documentos internos, evitando permissões amplas que beneficiem iscas enviadas por terceiros.
No endpoint, regras de controle de aplicação e políticas de PowerShell devem limitar execução iniciada por Office, especialmente quando houver decodificação de Base64, escrita em diretórios de usuário, download de arquivos compactados ou execução de binários recém-criados. O objetivo não é depender de uma única regra, mas interromper a cadeia em pontos diferentes: modelo externo, macro, script, download, montagem da carga e injeção em processo. Cada quebra reduz a chance de o Bandook alcançar comunicação C2.
Para incidentes já suspeitos, a contenção deve incluir isolamento do host, coleta de artefatos Office e modelos externos quando disponíveis, preservação de eventos de PowerShell, histórico de proxy, telemetria de criação de processo e arquivos temporários ainda existentes. Como o fluxo remove artefatos da pasta pública depois de executar a carga, a investigação deve considerar dados de EDR, cópias em quarentena, cache de proxy e registros de sincronização em nuvem. Executáveis assinados associados à campanha devem ser validados por comportamento, origem e cadeia de execução, não apenas pelo certificado.
A revisão pós-incidente deve cobrir credenciais e contas usadas no equipamento comprometido, embora o contexto analisado confirme apenas o envio de informações básicas da máquina e espera por comandos. Qualquer medida adicional deve ser guiada por telemetria local: conexões C2, comandos observados, processos criados e arquivos acessados. Onde houver indício de persistência ou carga posterior, a equipe deve expandir a análise para inicialização automática, tarefas agendadas, serviços, chaves de registro e outros mecanismos locais, sem presumir capacidades não vistas nos dados disponíveis.
- Bloquear macros de documentos externos e revisar a necessidade de modelos remotos no Microsoft Word.
- Criar detecções para Office iniciando PowerShell, especialmente com decodificação, download e gravação em diretórios de usuário.
- Monitorar uso anômalo de encurtadores, Dropbox, Bitbucket e S3 quando acionados por documentos ou scripts.
- Tratar executáveis assinados como suspeitos quando surgirem após cadeia Office-PowerShell e não fizerem parte do inventário aprovado.
- Investigar Process Hollowing envolvendo Internet Explorer e conexões de rede iniciadas por processos recém-criados.
0 Comentários