Campanhas iniciadas por páginas falsas de recrutamento entregam arquivos ZIP maliciosos, abusam de sideloading em múltiplos estágios e instalam backdoors com C2 redundante, ofuscação pesada e roubo de credenciais de navegador.
| Componente | Implantes MiniJunk, MiniBrowse e variantes anteriores associadas a Minibike/SlugResin, operados por Nimbus Manticore, também rastreado como UNC1549 ou Smoke Sandstorm. |
| Vetor | Spear phishing com links para portais falsos de recrutamento, credenciais pré-compartilhadas, requisições para /login-user e download de arquivos ZIP com executáveis e DLLs usados em sideloading. |
| Impacto | Persistência por chave de execução automática, execução de backdoor via binário legítimo, comunicação HTTPS com servidores C2 redundantes, exfiltração de arquivos por chunks e roubo de dados de login de Chrome e Edge. |
| Prioridade | Bloquear a cadeia de entrega por phishing, revisar execuções de binários legítimos fora do comportamento esperado, caçar DLLs suspeitas em diretórios de usuário e conter endpoints com artefatos em AppData\Local\Microsoft\MigAutoPlay\. |
| Artefatos | Survey.zip, Setup.exe, userenv.dll, xmllite.dll, MigAutoPlay.exe, SenseSampleUploader.exe, RTL_USER_PROCESS_PARAMETERS, DllPath, RtlCreateProcessParameters e RtlCreateUserProcess. |
| Mitigação | Restringir sideloading por controle de aplicação, monitorar alterações de execução automática, inspecionar arquivos assinados por entidades incomuns, rotacionar credenciais de navegador expostas e isolar hosts com comunicação HTTPS anômala para domínios de recrutamento. |
A atividade atribuída a Nimbus Manticore mantém foco em organizações aeroespaciais, defesa, telecomunicações e alvos relacionados no Oriente Médio e na Europa. A operação combina engenharia social de alta especificidade com implantes próprios, em uma cadeia que começa em páginas falsas de candidatura a vagas e termina com persistência local, execução de backdoor e comunicação com infraestrutura de comando e controle. O ator também é conhecido pelos rastreamentos UNC1549 e Smoke Sandstorm, e parte da atividade anterior ficou associada à campanha Iranian DreamJob. O elemento técnico mais relevante nas amostras recentes é a evolução de Minibike/SlugResin para uma variante tratada como MiniJunk, com ofuscação em nível de compilador, inflação de binário, assinatura de código e uso de múltiplos servidores C2 para reduzir interrupções operacionais.
A campanha não depende de exploração pública de uma vulnerabilidade com CVE informado no material analisado. O acesso inicial é social e controlado: a vítima recebe um link e credenciais para um portal de login falso, geralmente com tema de carreira e aparência adaptada à marca personificada. Após autenticação aceita pela API do site, o portal entrega um arquivo compactado que aparenta fazer parte de um processo seletivo. A cadeia de execução abusa de sideloading de DLLs e manipulação de parâmetros baixos de criação de processo para alterar o caminho usado pelo carregador do Windows. O resultado é a execução de DLLs maliciosas em torno de binários legítimos, dificultando a leitura por telemetria superficial baseada apenas no nome do processo.
O fluxo inicial usa infraestrutura web com aparência de portal de recrutamento. As páginas falsas variam de acordo com a organização personificada, incluindo marcas dos setores aeroespacial, defesa e aviação. O padrão de domínio é temático de carreira e frequentemente fica atrás de Cloudflare, o que reduz a exposição direta do endereço IP real do servidor. A autenticação do portal é parte do controle de acesso da campanha: a vítima envia uma requisição POST para /login-user; credenciais inválidas recebem 401 Unauthorized, enquanto credenciais aceitas disparam o download de um arquivo malicioso. Esse desenho ajuda o operador a limitar a coleta por terceiros e a associar cada entrega a um alvo previamente selecionado.
Um exemplo da cadeia usa um arquivo Survey.zip com Setup.exe, userenv.dll e outros componentes. Quando Setup.exe é executado, ele carrega por sideloading uma DLL chamada userenv.dll no mesmo diretório. Essa DLL verifica o nome do módulo PE em execução para decidir o estágio atual. Se ainda não estiver rodando a partir de MigAutoPlay.exe, a DLL inicia uma etapa de carregamento adicional. O malware usa chamadas de baixo nível de ntdll para iniciar C:\Program Files\Windows Defender Advanced Threat Protection\SenseSampleUploader.exe, um binário legítimo do Windows Defender Advanced Threat Protection que, nessa cadeia, é explorado por sua dependência de xmllite.dll por caminho relativo.
A técnica central está na criação do processo com RtlCreateProcessParameters e RtlCreateUserProcess. O campo DllPath dentro de RTL_USER_PROCESS_PARAMETERS define um caminho de pesquisa de DLL que o carregador pode usar para resolver módulos importados. A amostra obtém o caminho de Setup.exe com GetModuleHandle e o fornece como DllPath. Como xmllite.dll maliciosa está no mesmo diretório do arquivo compactado extraído, a tentativa de carregamento feita pelo binário legítimo termina resolvendo a DLL controlada pelo atacante. Esse método cria um sideloading em múltiplos estágios sem depender apenas da ordem convencional de busca de DLL no diretório do aplicativo.
Após a carga de xmllite.dll, a cadeia cria o diretório de trabalho AppData\Local\Microsoft\MigAutoPlay\, copia a backdoor userenv.dll para esse local, posiciona um executável legítimo como MigAutoPlay.exe e configura uma chave de execução automática no Registro. Em seguida, a persistência passa a acionar o binário benigno, que carrega a DLL maliciosa por sideloading. A vítima recebe uma mensagem falsa de erro de rede relacionada ao programa-isca, enquanto o implante segue com inicialização, coleta de identificadores e comunicação de rede.
A superfície mais exposta é composta por usuários com função ou histórico profissional compatível com abordagens de recrutamento nos setores visados. Ambientes corporativos que permitem execução de arquivos ZIP baixados da web, extração em diretórios de usuário e execução de binários não inventariados têm maior probabilidade de completar a cadeia. A presença de Cloudflare e Azure App Service na arquitetura de C2 não deve ser tratada como maliciosa por si só, mas a combinação de portais de carreira recém-observados, autenticação pré-compartilhada, entrega seletiva de arquivo e execução local de DLL fora de caminhos administrados é um sinal operacional forte.
O MiniJunk coleta nome do computador, domínio e nome de usuário, inicializa lógica de rede em uma thread principal e se comunica por HTTPS com servidores C2 hardcoded em rotação. A resposta do C2 usa strings codificadas separadas por ##, que são quebradas em vetores e convertidas em comandos. A funcionalidade confirmada é compatível com backdoor convencional: envio de arquivos por partes, controle de fluxo por argumentos e resiliência quando um servidor fica indisponível. A ausência de criptografia forte no tráfego descrito não torna a detecção trivial, porque os dados são codificados, a lógica é ramificada e as amostras usam ofuscação intensa.
O MiniBrowse amplia o risco para credenciais salvas em navegadores. Há variantes voltadas a Chrome e Edge, implementadas como DLLs projetadas para injeção em navegador e coleta de senhas armazenadas. Após execução, o componente coleta nome de usuário e domínio, envia um payload JSON para um endpoint predefinido e continua apenas se o C2 responder com qualquer status HTTP diferente de 200. Em seguida, procura arquivos relacionados a dados de login do Edge e os exfiltra por requisições POST; algumas versões também conseguem encaminhar JSONs por named pipe.
- Usuários abordados por mensagens de recrutamento direcionadas, com link e credenciais enviados previamente pelo operador.
- Endpoints Windows que permitem execução de
Setup.exea partir de diretórios extraídos de arquivos ZIP recebidos por phishing. - Contas corporativas cujos usuários armazenam credenciais em Chrome ou Edge, especialmente em máquinas sem isolamento forte de navegador.
- Ambientes que confiam em assinatura de código sem validar reputação, finalidade comercial, cadeia de emissão e comportamento real do binário assinado.
A caça deve começar pela cadeia de entrega e prosseguir até persistência, execução e rede. Em proxy, DNS e gateway de e-mail, procure mensagens com tema de recrutamento que encaminhem para domínios de carreira recém-criados ou pouco reputados, especialmente quando o acesso ao portal exige credenciais fornecidas na própria abordagem. Em logs web ou EDR com captura de URL, a rota /login-user e respostas 401 Unauthorized seguidas de download de ZIP podem indicar portais que implementam autenticação seletiva. Em endpoints, priorize eventos de extração e execução de arquivos compactados com nomes relacionados a avaliação, formulário, pesquisa ou contratação.
No host, a sequência crítica envolve Setup.exe carregando userenv.dll, criação de processo para SenseSampleUploader.exe, carregamento anômalo de xmllite.dll a partir de diretório de usuário e criação de AppData\Local\Microsoft\MigAutoPlay\. A execução persistente de MigAutoPlay.exe fora de um caminho esperado, acompanhada de carregamento de userenv.dll, deve receber prioridade alta. Também é importante correlacionar eventos de Registro que criem ou alterem chaves de execução automática apontando para esse diretório. Como os binários podem estar assinados e inflados com blocos de código inerte, decisões baseadas apenas em reputação ou tamanho do arquivo tendem a ser frágeis.
Na rede, monitore processos incomuns emitindo HTTPS para múltiplos destinos hardcoded em rotação, principalmente quando um mesmo processo alterna domínios após falha de conexão. O tráfego pode não estar criptografado no nível da aplicação, mas os dados são codificados, então a telemetria mais útil pode estar nos metadados: processo de origem, diretório de execução, frequência, tamanho de requisições, variação de destino e uploads segmentados. Para o MiniBrowse, eventos de acesso a arquivos de perfil de Chrome ou Edge por DLLs injetadas, seguidos por POST para infraestrutura externa ou escrita em named pipe, devem ser tratados como possível roubo de credenciais.
- Execução de
SenseSampleUploader.exeiniciada por processo fora do caminho normal de segurança ou administração. - Carregamento de
xmllite.dllouuserenv.dlla partir de diretórios extraídos, temporários ou sob%LOCALAPPDATA%. - Criação de
AppData\Local\Microsoft\MigAutoPlay\com cópia de DLL e executável legítimo renomeado ou reposicionado. - Chaves de execução automática apontando para
MigAutoPlay.exeem perfil de usuário. - Requisições HTTPS recorrentes de binários pouco comuns para múltiplos destinos, com uploads em partes ou payloads JSON associados a dados de navegador.
A contenção deve bloquear primeiro a continuidade da cadeia. Hosts com AppData\Local\Microsoft\MigAutoPlay\, execução suspeita de MigAutoPlay.exe ou sideloading de userenv.dll devem ser isolados antes da coleta completa de disco, memória e eventos de EDR. Remover apenas a chave de execução automática é insuficiente se o operador já recebeu identificadores do host ou se houve exfiltração de arquivos. A resposta deve preservar os artefatos compactados, a árvore de processos, DLLs carregadas, entradas de Registro, histórico de navegação e destinos HTTPS para permitir escopo por similaridade.
A mitigação preventiva passa por controle de aplicação e redução de superfície de sideloading. Políticas que bloqueiam execução de arquivos extraídos de ZIP em diretórios de usuário, exigem reputação conhecida para binários assinados e restringem carregamento de DLL fora de caminhos aprovados reduzem o impacto da cadeia. A assinatura por SSL.com mencionada nas amostras mostra que assinatura válida não deve equivaler a confiança automática; a validação precisa combinar emissor, sujeito do certificado, data de assinatura, prevalência interna, caminho de execução e comportamento observado.
Para credenciais, qualquer endpoint com indício de MiniBrowse exige rotação das senhas armazenadas em navegador, invalidação de sessões e revisão de tokens associados a aplicações acessadas pelo usuário. A equipe também deve revisar políticas de armazenamento de senha em navegadores corporativos, sincronização de perfis e acesso a arquivos de login por processos não autorizados. Em e-mail e identidade, regras de detecção devem cobrir mensagens de recrutamento com credenciais embutidas, anexos ou links para portais com tema de carreira, além de autenticação em serviços externos logo após possível exposição de credenciais.
- Isolar endpoints com indicadores de
MigAutoPlay,userenv.dll,xmllite.dllsuspeita ou execução anômala deSenseSampleUploader.exe. - Coletar ZIP original, DLLs, executáveis, chaves de Registro, árvore de processos, conexões HTTPS e eventos de acesso a arquivos de navegador.
- Bloquear execução de conteúdo baixado e extraído em diretórios de usuário quando não houver origem corporativa aprovada.
- Aplicar allowlisting com validação comportamental, não apenas assinatura de código.
- Rotacionar credenciais e invalidar sessões quando houver acesso suspeito a arquivos de login de Chrome ou Edge.
- Criar detecções para portais falsos de carreira com entrega seletiva por
/login-usere download posterior de arquivo compactado.
0 Comentários