A cadeia usa Atera para acesso inicial, carrega scripts anexados a DLLs assinadas e persiste o payload do Zloader com execução por componentes nativos do Windows.
| Componente | Campanha do Zloader envolvendo Atera, DLLs assinadas modificadas, comando operacional omitido, regsvr32.exe e injeção em msiexec.exe. |
| Vetor | Instalação de um agente Atera por um arquivo .msi que imita Java; o método exato de distribuição não foi confirmado. |
| Impacto | Acesso remoto ao endpoint, execução de scripts, redução de controles locais, persistência no perfil do usuário e comunicação do payload com infraestrutura C2 defangada. |
| Prioridade | Auditar uso de Atera, restringir abuso de binários nativos, habilitar verificação Authenticode estrita após validação e caçar DLLs assinadas com conteúdo anexado. |
| Artefatos | appContast.dll, reboot.dll, 9092.dll, auto.bat, new1.bat, new2.bat, WScriptSleeper.vbs e alterações em chaves de inicialização do usuário. |
| IoCs | Infraestrutura observada inclui teamworks455[.]com para arquivos da campanha e lkjhgfgsdshja[.]com como C2; dois endereços associados foram citados como 185[.]191[.]34[.]223 e 185[.]191[.]34[.]209. |
| Mitigação | Revisar agentes RMM não autorizados, monitorar comando operacional omitido recebendo DLL como parâmetro, validar assinaturas com política estrita e conter endpoints com persistência em HKCU\Software\Microsoft\Windows\CurrentVersion\Run. |
Uma campanha do Zloader voltou a usar uma cadeia de infecção orientada à evasão, combinando software legítimo de administração remota, scripts em lote, binários nativos do Windows e abuso de verificação de assinatura digital. O malware é descrito como uma ameaça bancária voltada ao roubo de credenciais e informações privadas. A atividade analisada começou a aparecer no início de novembro de 2021, após campanhas anteriores associadas ao mesmo ecossistema terem usado documentos maliciosos, sites adultos e anúncios do Google como caminhos de infecção.
O ponto técnico central é que a operação não depende apenas de um executável claramente malicioso. Primeiro, o operador obtém controle do endpoint por meio do Atera, uma plataforma legítima de monitoramento e gerenciamento remoto. Depois, usa scripts para preparar o ambiente, reduzir a visibilidade defensiva e carregar DLLs modificadas. Uma dessas DLLs preserva uma assinatura válida da Microsoft apesar de conter script anexado à área de assinatura, explorando uma condição conhecida em que a verificação Authenticode mais rígida existe, mas não é aplicada por padrão em muitos ambientes.
A campanha também demonstra manutenção ativa. Arquivos hospedados em teamworks455[.]com eram alterados em intervalos de poucos dias, e um script de checagem entregava DLLs diferentes com comportamento equivalente e hashes distintos. Em 2 de janeiro de 2022, foram observados 2.170 IPs únicos de vítimas que baixaram a DLL maliciosa, com concentração maior nos Estados Unidos e no Canadá. A atribuição permanece condicionada a semelhanças operacionais e de infraestrutura com campanhas anteriores ligadas ao MalSmoke, incluindo disfarce de componentes Java e relação de registro entre domínios usados em atividades anteriores.
A infecção começa com a instalação de um agente Atera no sistema. O instalador .msi foi criado para associar o endpoint a uma conta específica e usa um endereço temporário como identificador do proprietário. O arquivo imita uma instalação de Java, um padrão já visto em campanhas anteriores do Zloader, mas o mecanismo usado para entregar esse instalador às vítimas não foi estabelecido. Esse limite é importante: há evidência do artefato instalado e do fluxo posterior, mas não há confirmação suficiente para declarar phishing, malvertising ou outro vetor inicial específico nesta campanha.
Depois que o agente RMM é instalado, o operador passa a ter recursos de administração remota compatíveis com a própria ferramenta, como transferência de arquivos e execução de scripts. A cadeia observada usa a função de execução de scripts para introduzir arquivos em lote no endpoint. Esses scripts baixam etapas adicionais, verificam privilégios administrativos, tentam elevá-los por técnica conhecida de automação em lote e adicionam exclusões ao Windows Defender. O fluxo também desabilita ferramentas úteis para investigação local, incluindo componentes de console e gerenciador de tarefas, reduzindo a capacidade do usuário ou do suporte de perceber e interromper a atividade manualmente.
Na etapa seguinte, a execução passa por comando operacional omitido usando appContast.dll como parâmetro. A DLL tem nome original relacionado a AppResolver.dll e aparece assinada pela Microsoft, mas foi modificada para carregar script anexado. Como código compilado não é executado diretamente da seção de assinatura, o uso de script interpretado viabiliza a execução por comando operacional omitido. O script entra em uma fase de espera usando WScriptSleeper.vbs em %temp% e, depois, aciona 9092.dll, o payload principal do Zloader, por meio de regsvr32.exe. O malware então injeta código em msiexec.exe, que passa a se comunicar com o domínio C2 defangado lkjhgfgsdshja[.]com.
A persistência combina inicialização no perfil do usuário e chaves de registro. O malware deposita auto.bat na pasta Startup para chamar comando operacional omitido com reboot.dll, outro arquivo assinado de forma semelhante. Após a execução, o script remove a si próprio. Também foi observado um valor aleatório em HKCU\Software\Microsoft\Windows\CurrentVersion\Run apontando para regsvr32.exe com uma cópia de 9092.dll em uma pasta recém-criada sob %appdata%. Separadamente, new2.bat altera SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System para desabilitar o modo de aprovação de administrador e reinicia o computador para aplicar a mudança, o que amplia o risco operacional em sessões futuras.
A superfície exposta inclui endpoints Windows nos quais um agente Atera não autorizado consegue ser instalado e executado. A presença de Atera não é, por si só, maliciosa: é uma ferramenta legítima de RMM usada por equipes de TI. O risco surge quando a organização não possui inventário, controle de contas autorizadas, bloqueio por política ou telemetria suficiente para distinguir agentes corporativos de agentes criados por operadores externos. A campanha aproveita exatamente essa ambiguidade operacional para obter uma forma inicial de administração remota sem depender de uma backdoor própria nessa etapa.
Ambientes que confiam apenas no status de assinatura digital de um PE também ficam expostos a uma decisão de confiança frágil. A DLL modificada conserva aparência de assinatura válida até que a verificação Authenticode estrita seja habilitada. A condição está relacionada a problemas históricos tratados por CVE-2020-1599, CVE-2013-3900 e CVE-2012-0151; a verificação mais rígida foi disponibilizada, mas mantida como opção configurável devido ao risco de impacto em software legítimo. Isso cria uma janela defensiva em que um arquivo assinado pode conter dados anexados capazes de alimentar um interpretador, sem que a validação padrão sinalize a alteração como inválida.
O abuso de binários nativos amplia a superfície porque comando operacional omitido, regsvr32.exe e msiexec.exe normalmente existem em sistemas Windows e podem aparecer em operações administrativas reais. A cadeia também utiliza caminhos de usuário como %appdata%, %temp% e Startup, além de chaves de execução automática em HKCU. Esses locais são atrativos porque não exigem necessariamente instalação como serviço de sistema e podem sobreviver a reinicializações. O efeito prático é uma infecção que mistura ferramenta legítima, assinatura aparentemente confiável e execução por componentes do próprio sistema operacional.
- Endpoints Windows com agente Atera instalado fora do processo corporativo de gestão de RMM.
- Ambientes que validam assinatura Authenticode sem a política estrita habilitada e testada.
- Estáções onde comando operacional omitido e
regsvr32.exepodem executar conteúdo de caminhos graváveis pelo usuário. - Perfis com persistência em Startup,
%appdata%eHKCU\Software\Microsoft\Windows\CurrentVersion\Run.
A caça deve começar por uma correlação entre inventário de RMM e eventos de execução. Instalações recentes de Atera precisam ser comparadas com contas, tenants, endereços de e-mail proprietários e janelas de mudança aprovadas. Um agente associado a conta externa, instalado em endpoint de usuário sem chamado ou sem política de gestão, deve ser tratado como evento de alto risco. Logs de criação de processo e EDR devem mostrar a sequência posterior: processos de script iniciados pela ferramenta RMM, download de artefatos para diretórios de usuário, criação de exclusões no Windows Defender e tentativa de bloquear ferramentas locais de investigação.
Para a evasão por assinatura, a defesa deve procurar DLLs assinadas que tenham tamanho, checksum ou estrutura divergente do binário esperado e que sejam passadas como argumento para comando operacional omitido. A evidência relevante não é apenas a assinatura válida, mas a combinação anômala de assinatura, conteúdo anexado, nome de arquivo semelhante ao legítimo e execução por interpretador. Após habilitar a validação estrita em laboratório ou em anéis controlados, esses mesmos arquivos tendem a perder a condição de assinatura válida, o que oferece uma diferença útil para triagem defensiva sem publicar ou executar o conteúdo malicioso.
No endpoint, sinais fortes incluem regsvr32.exe carregando DLLs a partir de %appdata%, msiexec.exe abrindo comunicação de rede sem relação com instalação legítima, scripts em lote criados logo após atividade de RMM e alterações no modo de aprovação de administrador. Em rede, a busca deve priorizar consultas e conexões para domínios defangados associados à campanha, como teamworks455[.]com e lkjhgfgsdshja[.]com, além de padrões de download repetidos a partir de diretórios abertos. Em identidade e administração, a presença de um teste gratuito de RMM vinculado a e-mail temporário deve ser encarada como indicador contextual, não como prova isolada de comprometimento.
- Instalação de Atera sem aprovação, especialmente com conta proprietária desconhecida ou endereço temporário.
- comando operacional omitido recebendo DLL como parâmetro, principalmente a partir de
%appdata%,%temp%ou diretórios recém-criados. - Criação de exclusões no Windows Defender seguida de desabilitação de ferramentas locais de investigação.
regsvr32.exeexecutando9092.dllou DLL equivalente com hash variável e comportamento semelhante.- Persistência em Startup e em
HKCU\Software\Microsoft\Windows\CurrentVersion\Runcom valor aleatório. - Comunicação de
msiexec.execom domínio C2 defangado ou tráfego incomum logo após injeção de processo.
A resposta deve priorizar contenção do acesso remoto antes de remover apenas o payload. Um endpoint com Atera não autorizado precisa ser isolado, ter o agente inventariado, e a conta RMM associada deve ser identificada. A remoção do agente sem preservar logs pode apagar parte do caminho de execução; por isso, a coleta de eventos de criação de processo, arquivos recém-gravados, histórico de scripts executados pela ferramenta e conexões de rede deve ocorrer antes de limpeza ampla, quando a operação defensiva permitir. Contas locais e privilégios administrativos impactados por alterações de política também precisam ser revisados.
A mitigação técnica inclui avaliar a ativação da verificação Authenticode estrita da Microsoft em ambiente controlado antes de ampla implantação. A própria condição documentada aponta que alguns instaladores benignos podem passar a ser tratados como assinaturas inválidas, então a implantação deve considerar inventário de software, exceções justificadas e monitoramento de impacto. Após aplicada, DLLs modificadas como appContast.dll e reboot.dll deixam de manter uma assinatura aceita, reduzindo a eficácia desse caminho de evasão. Essa medida, no entanto, não substitui controles de execução, porque o operador ainda pode abusar de RMM ou de outros binários nativos.
Quando comando operacional omitido não tiver uso legítimo no ambiente, o bloqueio por política de controle de aplicativos reduz a superfície para scripts anexados a arquivos PE. O mesmo raciocínio vale para regras que restrinjam regsvr32.exe a caminhos e cenários administrativos conhecidos, com alerta quando DLLs são carregadas de diretórios de usuário. Exclusões de antivírus devem ser monitoradas como evento de segurança, não apenas como configuração operacional, principalmente quando criadas por processos iniciados a partir de RMM. A recuperação deve remover persistências em Startup e Run, restaurar políticas de aprovação de administrador, validar assinaturas de DLLs suspeitas e procurar comunicação histórica com a infraestrutura defangada.
Por fim, organizações que usam Atera de forma legítima devem estabelecer allowlist de tenants, contas, instaladores e origens de instalação. A campanha evidencia que a mesma funcionalidade desenhada para suporte remoto pode se tornar um vetor de controle quando instalada por um operador externo. A defesa efetiva depende de amarrar inventário de software, logs de identidade, telemetria de endpoint e política de execução em uma única linha do tempo, distinguindo administração autorizada de uso oportunista por malware.
- Isolar endpoints com Atera não autorizado e preservar eventos de RMM, criação de processo, arquivos baixados e conexões de rede.
- Remover persistências em Startup e
HKCU\Software\Microsoft\Windows\CurrentVersion\Runapós coleta forense suficiente. - Validar a habilitação da verificação Authenticode estrita em anéis controlados antes de implantação ampla.
- Bloquear ou restringir comando operacional omitido quando não houver necessidade operacional documentada.
- Alertar para
regsvr32.exeemsiexec.exeexecutando ou comunicando a partir de fluxos incomuns associados a DLLs em diretórios de usuário. - Revisar exclusões do Windows Defender criadas recentemente e restaurar controles desabilitados durante a infecção.
- Inventariar tenants e instaladores Atera autorizados para detectar agentes vinculados a contas externas.
0 Comentários