A operação usou falsa oferta de emprego para induzir execução de PowerShell, manter persistência por tarefas agendadas, implantar duas variantes de PureHVNC e acionar Sliver para coleta de senha.
| Componente | Família Pure, incluindo PureHVNC RAT, PureCrypter, PureLogs, carregador em Rust, payload .NET e implante Sliver. |
| Vetor | Página ClickFix associada a falsa oferta de emprego induz o usuário a colar e executar um comando PowerShell copiado para a área de transferência. |
| Impacto | PureHVNC fornece controle remoto oculto, persistência, comunicação criptografada com C2 e execução de comandos; Sliver executou script para solicitar senha do usuário e salvar credenciais em disco. |
| Prioridade | Bloquear execução de comandos colados de páginas web, caçar persistência em Startup e tarefas agendadas, isolar hosts com IoCs observados e revisar credenciais digitadas em prompts suspeitos. |
| Artefatos | %APPDATA%\Microsoft\SystemCertificates\9TwinAPIInterop.pfx, mutex MistyRoseNavy, exportações DllRegisterServer e DllUnregisterServer, parâmetro /i:--type=renderer, arquivo %ProgramData%/__cred.txt. |
| IoCs | C2 54[.]197.141.245, campanha 2a, campanha amazon3, C2 hxxps://jq-scripts.global.ssl[.]fastly[.]net. |
| Mitigação | Aplicar controle de execução para wscript, cscript, powershell, regsvr32 e instaladores não autorizados; auditar tarefas agendadas que imitam atualizadores legítimos; revogar credenciais expostas. |
A família Pure reúne ferramentas maliciosas comercializadas como um ecossistema modular. O conjunto inclui PureHVNC RAT, antecessor relacionado a PureRAT, além de PureCrypter, usado para ofuscação, e PureLogs, voltado a roubo e registro de informações. A operação analisada mostra como esses componentes são combinados por operadores diferentes do desenvolvedor do ecossistema: a infraestrutura e parte dos artefatos apontam para manutenção centralizada do conjunto Pure, enquanto a cadeia de infecção e a execução no alvo representam uso operacional por clientes ou afiliados.
Em 2025 foi observado aumento no uso de produtos Pure em campanhas distribuídas por malspam, sites de phishing e técnica ClickFix. No caso descrito, a infecção começou por uma isca de falsa oferta de emprego. A página maliciosa copiou automaticamente um comando PowerShell para a área de transferência da vítima e instruiu a execução manual. Esse detalhe é importante para defesa porque o navegador não precisa explorar uma falha no sistema: a etapa crítica depende de engenharia social, abuso da confiança do usuário e execução local de comando em sessão interativa.
A intrusão durou oito dias e evoluiu em estágios. No início, o operador entregou arquivos JavaScript maliciosos e a primeira instância de PureHVNC RAT. No segundo dia, implantou uma nova instância do mesmo RAT empacotada por um carregador em Rust e por Inno Setup. Após mais de seis dias com baixa atividade, possivelmente para reduzir ruído e observar se o ambiente era uma máquina real, foi entregue um implante Sliver, que executou um script PowerShell para pedir a senha do usuário em um prompt e gravar o resultado em %ProgramData%/__cred.txt.
A cadeia inicial começa com a página ClickFix. O usuário chega ao site por meio de falsa oportunidade de trabalho, recebe instruções enganosas e acaba executando um comando PowerShell previamente colocado na área de transferência. A execução baixa e inicia um JavaScript malicioso. Esse JavaScript cria um arquivo LNK na pasta de inicialização do Windows para persistência e passa a contatar C2s diferentes ao longo dos dias, aguardando novas instruções. O primeiro PureHVNC entregue nessa fase usou o C2 54[.]197.141.245 e o identificador de campanha 2a.
A segunda etapa introduziu um carregador em Rust entregue como DLL e executado por meio do LOLBin regsvr32. A amostra foi gravada em %APPDATA%\Microsoft\SystemCertificates\9TwinAPIInterop.pfx, caminho que tenta se confundir com material de certificados do Windows. A lógica maliciosa fica nas exportações DllRegisterServer e DllUnregisterServer, ambas contendo a mesma funcionalidade. Para dificultar análise, o binário guarda strings cifradas e as descriptografa sob demanda com ChaCha20-Poly1305; a chave é derivada por XOR entre dois valores embutidos no próprio binário.
O carregador aplica várias verificações antes de executar o payload. Ele procura processos associados a antivírus, ferramentas de segurança, depuradores, engenharia reversa e monitoramento, incluindo produtos de Bitdefender, ESET, Kaspersky, Ad-Aware e 360 Total Security. Também verifica funções de API presentes no emulador de análise de malware do Windows Defender, explorando diferenças entre bibliotecas reais do Windows e bibliotecas virtuais do ambiente emulado. Quando detecta ambiente monitorado, executa cmd /c timeout /t {random_time} >null, dorme entre 10 e 30 minutos e repete a verificação, atrasando análise automatizada.
Outra pré-condição do carregador é a presença do parâmetro /i:--type=renderer na linha de comando. Sem esse parâmetro, o processo termina. Após descriptografar o payload, o carregador tenta impedir inspeção em tempo de execução ao instalar um gancho em LdrLoadDll, dentro de ntdll.dll, para interceptar o carregamento de amsi.dll. A consequência é um desvio do AMSI, reduzindo a capacidade de produtos que dependem dessa interface para inspecionar scripts e conteúdo carregado no processo. Em seguida, o malware cria uma heap, copia o buffer descriptografado e executa shellcode.
O buffer contém um payload .NET. Esse componente descriptografa a carga final com AES, descomprime com Gzip e entrega PureHVNC. A configuração do RAT é serializada com Protocol Buffers, comprimida com Gzip e codificada em Base64. Ao reverter essa sequência, aparecem parâmetros como servidor de comando e controle, porta e mutex. O RAT usa comunicação por socket, envia inicialmente quatro bytes 04 00 00 00, cria um SSLStream e valida o certificado do servidor contra um certificado embutido na configuração. Depois coleta informações do bot, serializa, comprime e envia os dados; se o conteúdo comprimido ultrapassar cerca de 1 MB, o envio é dividido em blocos de 16 KB.
A exposição principal está em estáções Windows usadas por usuários que acessam páginas de phishing e executam comandos colados em terminais locais. O abuso não requer privilégio administrativo no início, mas o carregador tenta elevar privilégios por PowerShell em laço até que o usuário aceite o prompt de UAC. Quando a elevação é aceita, o processo original termina e a cadeia continua com privilégios mais altos. Isso amplia o impacto da persistência, da execução de comandos e da coleta de credenciais.
A persistência aparece em dois pontos. A fase JavaScript cria um LNK na pasta de inicialização, enquanto o carregador e o PureHVNC usam tarefas agendadas para sobreviver a reinicializações. Os nomes e caminhos da tarefa tentam imitar um atualizador do Google, o que exige que a defesa valide origem, autor, comando executado e argumentos, em vez de confiar apenas no nome visível. Quando executado como administrador, o RAT cria a tarefa com nível elevado; como usuário comum, remove a opção de maior privilégio e ainda mantém execução recorrente.
A presença de URLs do GitHub entregues pelo C2 para vítimas infectadas indica uso de repositórios como parte da infraestrutura de desenvolvimento ou operação da família Pure. O dado não atribui automaticamente cada campanha ao desenvolvedor do ecossistema, mas separa o papel de quem mantém ferramentas e infraestrutura do papel de quem conduz intrusões. Também foi observado fuso operacional UTC+0300 em contas associadas, informação insuficiente para atribuição geográfica conclusiva, mas útil como elemento contextual em análise de infraestrutura.
- Endpoints Windows com execução interativa de
PowerShell,regsvr32, JavaScript e tarefas agendadas habilitadas. - Usuários expostos a páginas
ClickFixcom instruções para colar comandos copiados para a área de transferência. - Ambientes em que
AMSI, telemetria de linha de comando, logs de tarefa agendada e inspeção de scripts não estão correlacionados. - Máquinas onde prompts de senha fora do fluxo normal de autenticação podem capturar credenciais em texto gravado em
%ProgramData%/__cred.txt.
A detecção deve começar pela cadeia de execução. Eventos de criação de processo que mostrem navegador seguido por terminal ou PowerShell com comando recém-colado são fortes indicadores de ClickFix, principalmente quando a navegação anterior envolve páginas de recrutamento, emprego ou verificação falsa. Em endpoint, procure execução de powershell.exe chamando JavaScript, criação de atalhos LNK em diretórios de inicialização e chamadas subsequentes a C2s que mudam ao longo de dias. A sequência temporal ajuda a separar infecção real de testes isolados.
Para o carregador em Rust, monitore regsvr32.exe carregando DLLs fora de diretórios esperados, especialmente caminhos sob %APPDATA%\Microsoft\SystemCertificates\ e arquivos com extensão enganosa como .pfx que não se comportam como certificados. A presença das exportações DllRegisterServer e DllUnregisterServer em arquivo localizado em perfil de usuário deve ser tratada como suspeita quando combinada com criação de tarefa agendada, uso de PowerShell via entrada padrão e parâmetro /i:--type=renderer.
A telemetria de memória e comportamento pode indicar evasão. Busque processos que tentem enganchar LdrLoadDll, bloquear carregamento de amsi.dll ou executar longos timeout em ciclos repetidos após detectar ferramentas de segurança. Também há sinais na comunicação: conexão inicial com envio de 04 00 00 00, criação de SSLStream, validação de certificado embutido e envio de dados comprimidos em blocos. Como parte da carga é .NET e passa por AES, Gzip, Base64 e Protocol Buffers, regras estáticas simples tendem a perder variantes empacotadas por PureCrypter ou por outro empacotador.
- Criação de arquivo
LNKem pasta de inicialização após execução de comandoPowerShelloriginado de navegação web. regsvr32.exeexecutando arquivo em%APPDATA%\Microsoft\SystemCertificates\9TwinAPIInterop.pfxou caminho semelhante em perfil de usuário.- Mutex
MistyRoseNavyem processo suspeito associado a carregador ou RAT. - Tarefas agendadas que imitam atualizador do Google, mas chamam
PowerShell, DLL, JavaScript ou binário em diretório de usuário. - Contato com
54[.]197.141.245ouhxxps://jq-scripts.global.ssl[.]fastly[.]net. - Arquivo
%ProgramData%/__cred.txtcriado após prompt de senha não autorizado.
A resposta deve isolar hosts com sinais de PureHVNC ou Sliver, preservar artefatos de disco e memória e coletar histórico de linha de comando antes de limpeza. Como a operação tenta coletar senha por prompt e gravar em %ProgramData%/__cred.txt, credenciais digitadas durante a janela de comprometimento devem ser consideradas expostas. A rotação precisa cobrir senha do usuário afetado, sessões ativas, tokens reutilizáveis e acessos posteriores observados em identidade, VPN, e-mail, repositórios e aplicações internas.
A contenção técnica exige remover persistências em Startup e tarefas agendadas, bloquear os IoCs conhecidos em proxy, DNS e EDR, e revisar regras de controle de aplicação para impedir regsvr32 de carregar DLLs em perfis de usuário. Também é recomendável restringir PowerShell com modo de linguagem apropriado, política de assinatura quando aplicável, registro de Script Block, transcrição e envio centralizado de eventos. O ponto defensivo central é reduzir a chance de que um comando colado de uma página web consiga baixar script, criar persistência e acionar um LOLBin sem alerta.
Depois da erradicação, valide se não há tarefas agendadas recriadas, arquivos residuais no perfil do usuário, conexões para C2s relacionados ou processos com o mutex observado. Revise alertas anteriores ao primeiro evento confirmado, porque a técnica ClickFix costuma deixar sinais de navegação e execução manual pouco antes do malware aparecer. Em engenharia de detecção, combine identidade do usuário, origem do processo, caminho do arquivo, argumentos de comando, criação de persistência e tráfego de rede; a campanha depende de várias etapas pequenas, e a correlação entre elas é mais confiável do que qualquer indicador isolado.
- Isolar o endpoint, coletar memória quando possível e preservar logs de processo, tarefas agendadas, PowerShell, proxy, DNS e EDR.
- Remover
LNKde inicialização, tarefas agendadas falsas e arquivos suspeitos em%APPDATA%\Microsoft\SystemCertificates\e%ProgramData%. - Revogar credenciais do usuário afetado e invalidar sessões ou tokens emitidos durante a intrusão.
- Bloquear execução de
regsvr32para DLLs em diretórios graváveis por usuário e alertar para o parâmetro/i:--type=rendererem contexto anômalo. - Habilitar registro detalhado de
PowerShell, incluindo Script Block Logging, transcrição e telemetria de comandos codificados com-Enc. - Treinar bloqueios técnicos e controles de navegador contra páginas que copiam comandos para a área de transferência e instruem execução manual.
0 Comentários