A Operação MacroMaze combinou documentos de spear phishing, chamadas a webhook[.]site, VBScript, tarefas agendadas e sessões do Microsoft Edge para comando remoto e exfiltração de saída de comandos.
| Componente | Documentos de isca com macros, XML contendo o campo INCLUDEPICTURE, VBScript, arquivos CMD, scripts batch, tarefas agendadas, Microsoft Edge e endpoints webhook[.]site. |
| Vetor | E-mails de spear phishing entregam documentos que disparam requisições HTTP externas quando abertos e usam macros para iniciar estágios locais. |
| Impacto | Confirmação de abertura do documento, estabelecimento de persistência, recuperação de comandos remotos, execução local e exfiltração da saída de comandos por formulários HTML. |
| Prioridade | Bloquear ou investigar documentos com macros e referências externas a webhook[.]site, revisar tarefas agendadas suspeitas e correlacionar execução do Microsoft Edge em modo headless ou fora da tela. |
| Período | Atividade observada entre setembro de 2025 e janeiro de 2026. |
| Campanha | Operação MacroMaze atribuída no material analisado a APT28. |
| Artefatos | Documentos com macros levemente modificadas, pequenos lançadores VBScript, arquivos CMD, scripts batch e HTML codificado em Base64. |
A Operação MacroMaze descreve uma atividade de malware baseada em documentos contra entidades europeias, ativa entre setembro de 2025 e janeiro de 2026. A cadeia foi atribuída no contexto técnico a APT28 e se destaca menos pelo uso de componentes sofisticados e mais pela organização de recursos nativos e serviços legítimos. O fluxo combina documentos de spear phishing, macros, VBScript, arquivos CMD, scripts batch, tarefas agendadas, Microsoft Edge e endpoints webhook[.]site para criar telemetria de abertura, persistência, execução de comandos e exfiltração de resultados.
O primeiro sinal técnico aparece antes mesmo da execução completa da macro. Os documentos de isca contêm, em sua estrutura XML, um elemento recorrente chamado INCLUDEPICTURE, configurado para apontar para um URL em webhook[.]site que hospeda uma imagem JPG. Quando o documento é aberto, o aplicativo tenta buscar a imagem remota. Essa requisição funciona como um beacon semelhante a um pixel de rastreamento: o operador do servidor pode registrar metadados da conexão e confirmar que o destinatário abriu o arquivo, sem depender inicialmente de uma exploração complexa.
Após a abertura do documento, as macros observadas atuam como dropper para iniciar os estágios locais. O contexto descreve várias amostras com pequenas alterações entre o fim de setembro de 2025 e janeiro de 2026, mantendo a mesma lógica central. A macro executa um VBScript, que transfere o controle para um arquivo CMD. Esse estágio cria persistência por meio de tarefas agendadas e inicia um script batch responsável por interagir com o navegador e com os endpoints de webhook usados para entrega de comandos e exfiltração.
Uma versão do fluxo renderiza um pequeno payload HTML codificado em Base64 no Microsoft Edge em modo headless. A técnica reduz artefatos visíveis para o usuário e desloca parte da operação para funcionalidades comuns do navegador. O HTML renderizado consulta um endpoint webhook[.]site para obter um comando, aciona a execução local, captura a saída e envia o resultado a outra instância webhook[.]site como arquivo HTML. O detalhe relevante para defesa é que o canal de saída não depende de uma ferramenta de exfiltração dedicada: ele usa submissão de formulário HTML e tráfego HTTP aparentemente compatível com navegação comum.
Uma segunda variante abandona a execução headless e passa a mover a janela do navegador para fora da área visível da tela. Em seguida, encerra agressivamente outros processos do Microsoft Edge para manter um ambiente controlado. Essa mudança sugere adaptação a prompts de segurança ou a condições em que a execução headless chamaria atenção. O uso de simulação de teclado por SendKeys nas versões mais recentes também indica tentativa de contornar avisos ou interações de segurança sem exigir um componente binário avançado.
A superfície exposta concentra-se em estáções de trabalho capazes de abrir documentos com conteúdo ativo e de permitir que o documento carregue recursos externos. Ambientes em que macros, VBScript, CMD, tarefas agendadas e o Microsoft Edge possam ser acionados pelo usuário ou pelo contexto do documento ficam mais sensíveis. O risco aumenta quando controles de saída permitem comunicação com serviços genéricos de webhook e quando a criação de tarefas agendadas por processos derivados de aplicativos de escritório não é monitorada.
A cadeia não depende, pelo material analisado, de uma vulnerabilidade específica com CVE ou de uma versão afetada de produto. O requisito operacional é a interação do alvo com o documento de spear phishing e a execução dos estágios scriptados. Por isso, a exposição deve ser analisada como combinação de engenharia social, política de macros, execução de scripts, controle de processos e tráfego de saída para serviços legítimos usados de forma abusiva.
- Estáções de trabalho de usuários que recebem documentos por spear phishing e abrem arquivos com recursos externos embutidos.
- Ambientes onde macros, VBScript, CMD e scripts batch podem iniciar processos filhos a partir de aplicativos de escritório.
- Hosts com Microsoft Edge disponível para renderização headless ou execução fora da área visível da tela.
- Redes que permitem requisições HTTP para webhook[.]site sem inspeção, bloqueio ou justificativa de negócio.
A investigação deve começar pela correlação entre abertura de documentos, requisições externas e processos filhos. Um documento que, ao ser aberto, gera tráfego para webhook[.]site por meio de referência INCLUDEPICTURE deve ser tratado como alerta de alto valor, especialmente quando seguido por execução de VBScript, CMD, batch ou criação de tarefa agendada. A presença de variações pequenas em macros também exige busca por comportamento, não apenas por hash ou nome de arquivo.
No endpoint, a sequência defensiva mais útil é observar aplicativos de escritório iniciando interpretadores de script, arquivos CMD ou o Microsoft Edge em contexto incomum. A execução do Edge em modo headless, a movimentação de janela para fora da tela, o encerramento de outros processos Edge e a renderização de HTML local codificado em Base64 são sinais compatíveis com a cadeia descrita. Na rede, a telemetria deve priorizar conexões HTTP para serviços de webhook logo após abertura de documentos, seguidas por tráfego de envio que contenha saída de comandos ou arquivos HTML gerados automaticamente.
- Requisições HTTP para webhook[.]site iniciadas durante ou logo após a abertura de documentos.
- Documentos com XML contendo
INCLUDEPICTUREapontando para recurso remoto JPG em webhook[.]site. - Aplicativos de escritório criando processos VBScript, CMD, batch ou Microsoft Edge.
- Criação de tarefas agendadas associada a documentos ou scripts recém-executados.
- Microsoft Edge em modo headless, janela fora da tela ou encerramento anormal de outros processos Edge.
- Submissões HTML automáticas para endpoints de webhook contendo saída de execução local.
A resposta deve priorizar contenção do vetor documental e visibilidade sobre execução de scripts. Em gateways de e-mail e EDR, documentos com macros e referências externas em XML devem receber análise reforçada, principalmente quando apontarem para serviços genéricos de webhook. Controles de política devem restringir macros não confiáveis, bloquear VBScript quando não houver necessidade operacional e alertar quando aplicativos de escritório iniciarem CMD, scripts batch ou navegadores de forma encadeada.
Na camada de rede, o uso de webhook[.]site deve ser tratado conforme a necessidade real do ambiente. Onde não houver justificativa, bloqueio ou aprovação explícita reduz o canal de confirmação, entrega e exfiltração usado pela campanha. Onde o serviço for necessário para equipes internas, a defesa deve aplicar allowlist, inspeção de destino, logs detalhados e alertas por volume, horário e origem. A contenção de hosts suspeitos deve incluir revisão de tarefas agendadas, processos iniciados por documentos, arquivos temporários de script e histórico de conexões do navegador.
Depois da contenção, a validação deve confirmar se houve somente beacon de abertura ou se a cadeia avançou para execução de comandos. Essa distinção muda a resposta: um beacon isolado exige triagem do destinatário, do documento e do tráfego; execução confirmada requer isolamento do endpoint, coleta de memória e disco conforme política interna, revisão de credenciais usadas no host e busca por tarefas agendadas persistentes. Como a técnica usa componentes comuns do sistema, a mitigação efetiva depende de correlação temporal e de regras comportamentais, não de um único indicador estático.
- Restringir macros não confiáveis e bloquear execução de VBScript quando o ambiente não exigir esse recurso.
- Alertar para aplicativos de escritório iniciando CMD, scripts batch, VBScript ou Microsoft Edge.
- Investigar e remover tarefas agendadas criadas no intervalo posterior à abertura do documento suspeito.
- Bloquear ou controlar acessos a webhook[.]site conforme necessidade de negócio documentada.
- Correlacionar tráfego HTTP, criação de processos e artefatos HTML para separar simples confirmação de abertura de execução de comandos.
- Isolar endpoints quando houver evidência de execução local e exfiltração da saída de comandos.
0 Comentários