ScarCruft usa Zoho WorkDrive e malware em USB contra redes isoladas

Campanha Ruby Jumper combina arquivo LNK malicioso, backdoor com C2 em nuvem e implantes que usam mídias removíveis para alcançar ambientes sem conexão direta com a internet.

Componente	Cadeia de malware Ruby Jumper atribuída ao ScarCruft, com RESTLEAF, SNAKEDROPPER, THUMBSBD, VIRUSTASK, FOOTWINE e BLUELIGHT.
Vetor	Abertura de arquivo LNK malicioso que aciona PowerShell, extrai cargas embutidas do próprio atalho e avança para execução em memória.
Impacto	Execução de comandos, vigilância no host, exfiltração de arquivos e uso de mídias removíveis para transportar comandos e dados entre sistemas conectados e redes isoladas.
Prioridade	Investigar atalhos LNK suspeitos, abuso de PowerShell, tarefas agendadas anômalas, tráfego para provedores de armazenamento em nuvem e criação de pastas ocultas em mídias removíveis.
Artefatos	RESTLEAF usa Zoho WorkDrive para comunicação C2; THUMBSBD e VIRUSTASK são entregues como arquivos Ruby; FOOTWINE inclui keylogging e captura de áudio e vídeo.
Infraestrutura	A campanha usa serviços legítimos de nuvem, incluindo Zoho WorkDrive, Google Drive, Microsoft OneDrive, pCloud e BackBlaze, como canais de comando e controle ou entrega.

Resumo técnico

A campanha Ruby Jumper amplia o conjunto de ferramentas atribuído ao ScarCruft com uma cadeia de infecção que começa em um arquivo LNK malicioso e termina em múltiplos implantes voltados a vigilância, execução remota e operação em ambientes sem conexão direta com a internet. O fluxo combina componentes Windows, scripts PowerShell, execução em memória, runtime Ruby implantado pelo próprio malware e abuso de serviços legítimos de armazenamento em nuvem para dificultar a distinção entre tráfego corporativo normal e comunicação de comando e controle.

O ponto mais relevante para defesa é a combinação de C2 em nuvem com propagação por mídia removível. RESTLEAF autentica-se no Zoho WorkDrive com token válido e baixa shellcode adicional, enquanto THUMBSBD e VIRUSTASK usam dispositivos USB como mecanismo de ponte entre máquinas conectadas e redes air-gapped. Essa arquitetura permite que operadores carreguem comandos, coletem resultados e movimentem artefatos mesmo quando o alvo final não possui acesso à internet, desde que exista circulação física de mídia removível entre zonas de rede.

Fluxo técnico

A etapa inicial depende da interação da vítima com um arquivo LNK preparado. Ao ser aberto, o atalho inicia PowerShell e verifica o diretório atual para localizar a si mesmo com base no tamanho do arquivo. A partir de deslocamentos fixos dentro do próprio LNK, a cadeia extrai vários elementos embutidos: um documento isca, um executável, um segundo script PowerShell e um arquivo batch. O documento de isca observado exibe material relacionado ao conflito Palestina-Israel, traduzido de um jornal norte-coreano para o árabe, o que indica uso de tema geopolítico como cobertura social para a execução técnica.

Depois da extração, os componentes restantes conduzem a transição para o próximo estágio. O batch inicia PowerShell, que descriptografa e carrega shellcode contendo a carga útil. RESTLEAF é então executado em memória e estabelece comunicação com Zoho WorkDrive. Após autenticação com um token de acesso válido, o componente baixa shellcode adicional e a executa por injeção de processo. Essa sequência reduz a dependência de binários gravados de forma clara em disco e desloca parte da detecção para eventos de script, memória, autenticação em nuvem e comportamento de processo.

SNAKEDROPPER aparece como etapa de instalação posterior. Ele implanta um ambiente Ruby, cria persistência por tarefa agendada e entrega THUMBSBD e VIRUSTASK. THUMBSBD atua como implante operacional para mídia removível: coleta informações do sistema, baixa carga secundária de servidor remoto, exfiltra arquivos e executa comandos arbitrários. Quando detecta mídia removível, cria uma pasta oculta para armazenar comandos emitidos pelo operador ou resultados de execução. VIRUSTASK tem função mais restrita e se concentra na preparação de mídias removíveis para levar a infecção a sistemas air-gapped ainda não comprometidos.

FOOTWINE é entregue por THUMBSBD como carga criptografada com lançador de shellcode integrado. Suas capacidades incluem registro de teclas e captura de áudio e vídeo para vigilância do sistema comprometido. A comunicação ocorre por protocolo binário customizado sobre TCP. BLUELIGHT também é distribuído nessa cadeia e já havia sido associado ao ScarCruft em atividades anteriores; nessa operação, ele mantém a lógica de abusar provedores legítimos de nuvem para executar comandos, enumerar sistema de arquivos, baixar cargas adicionais, enviar arquivos e remover seus próprios componentes.

Superfície afetada

A superfície exposta inclui estáções Windows nas quais usuários possam abrir atalhos LNK recebidos como isca, ambientes que permitam execução de PowerShell sem controle suficiente, hosts em que tarefas agendadas possam ser criadas por processos não esperados e organizações que dependem de mídias removíveis para transportar documentos entre redes conectadas e redes isoladas. A presença de serviços de nuvem legítimos na cadeia também amplia a dificuldade de bloqueio simples por domínio, porque o tráfego pode se misturar a atividades corporativas permitidas.

Redes air-gapped não são exploradas por conectividade direta no material descrito. O caminho depende da circulação de mídia removível e da presença de componentes que escrevem comandos, resultados ou cargas em pastas ocultas no dispositivo. Isso torna controles físicos, inventário de USB, bloqueio seletivo de gravação, inspeção em estáções intermediárias e análise de conteúdo oculto tão importantes quanto telemetria de rede.

Estáções Windows expostas a arquivos LNK maliciosos e execução de PowerShell.
Ambientes que usam Zoho WorkDrive, Google Drive, Microsoft OneDrive, pCloud ou BackBlaze sem inspeção comportamental suficiente.
Redes isoladas que recebem arquivos por mídias removíveis compartilhadas com sistemas conectados.
Hosts com criação de tarefas agendadas fora de processos administrativos conhecidos.

Hunting e telemetria

A investigação deve começar pela correlação entre abertura de arquivos LNK, inicialização de PowerShell, criação de arquivos temporários e execução subsequente de binários ou cargas em memória. Um LNK que extrai conteúdo embutido, aciona scripts e produz múltiplos artefatos locais deve ser tratado como evento de alta prioridade, especialmente quando o conteúdo aparente é apenas um documento temático. No endpoint, a telemetria de criação de processo, linha de comando normalizada, leitura do próprio arquivo LNK e alterações em diretórios temporários ajuda a reconstruir a cadeia sem depender de assinatura estática.

Para os componentes posteriores, os sinais mais úteis são tarefas agendadas recém-criadas por processos de usuário, instalação inesperada de runtime Ruby, arquivos Ruby em locais incomuns, injeção de processo após download de shellcode e conexões para serviços de armazenamento em nuvem iniciadas por processos que normalmente não usam esses provedores. Em ambientes com EDR, eventos de captura de áudio, vídeo ou teclado por processos sem relação com aplicativos de colaboração, navegador ou software corporativo autorizado devem ser revisados como possível atividade de vigilância.

Em mídias removíveis, a defesa deve procurar pastas ocultas criadas automaticamente, arquivos de estágio com padrões de comando e resposta, alterações logo após conexão do dispositivo e presença de componentes que reaparecem em sistemas diferentes. A análise deve preservar a linha do tempo do dispositivo: máquina de origem, máquina de destino, usuário autenticado, horário de montagem, arquivos criados e processos que acessaram o volume. Essa visão é essencial porque o canal de comando pode estar fora da rede e existir somente como troca física de artefatos.

Arquivo LNK iniciando PowerShell e extraindo múltiplas cargas do próprio atalho.
RESTLEAF ou processo injetado estabelecendo comunicação com Zoho WorkDrive após autenticação por token.
Criação de tarefa agendada associada à implantação de runtime Ruby ou arquivos Ruby inesperados.
Pastas ocultas em mídia removível usadas para armazenar comandos, resultados ou cargas.
Processos não autorizados acessando microfone, câmera, teclado ou arquivos sensíveis.

Mitigação

A resposta deve priorizar contenção de endpoints que executaram LNK suspeito, coleta de memória quando houver indício de execução em processo injetado e preservação das mídias removíveis associadas ao incidente. Como a cadeia usa serviços legítimos de nuvem, o bloqueio deve ser acompanhado de revisão de identidade, proxy, CASB ou logs de acesso para identificar tokens, contas e fluxos anômalos. O objetivo é separar uso corporativo normal de conexões iniciadas por processos inesperados ou por hosts que não deveriam interagir com esses provedores.

A mitigação preventiva passa por restringir execução de scripts, controlar abertura de LNK recebidos de fontes externas, aplicar políticas de redução de superfície de ataque para PowerShell, impedir criação não autorizada de tarefas agendadas e limitar o uso de mídias removíveis entre zonas de confiança. Redes isoladas devem tratar USB como fronteira crítica: mídia dedicada por zona, varredura em estáção intermediária, bloqueio de arquivos ocultos não autorizados, registro de montagem e política de somente leitura quando a transferência não exigir gravação.

Após a contenção, a validação precisa confirmar ausência de persistência, remoção de artefatos Ruby não autorizados, revogação de tokens suspeitos e revisão de arquivos que transitaram por mídia removível. Em paralelo, regras de detecção devem cobrir comportamento, não apenas nomes de malware, porque a campanha combina famílias diferentes e provedores legítimos. A organização deve manter busca retroativa por eventos de LNK, PowerShell, tarefas agendadas, conexões a nuvem e atividade em USB no período anterior à descoberta do alerta.

Isolar hosts que abriram LNK suspeito e preservar memória, artefatos temporários e mídia removível relacionada.
Revisar logs de proxy, identidade e nuvem para conexões anômalas com Zoho WorkDrive e outros provedores citados.
Restringir PowerShell, criação de tarefas agendadas e execução de scripts fora de caminhos administrativos aprovados.
Aplicar controle rígido de USB entre redes conectadas e air-gapped, com registro de montagem e inspeção de pastas ocultas.
Revogar tokens suspeitos e validar que não restaram componentes Ruby, backdoors ou tarefas persistentes.

ScarCruft usa Zoho WorkDrive e malware em USB contra redes isoladas

Postar um comentário

0 Comentários

Mais lidas da semana

Boletim semanal reúne violações, phishing, vulnerabilidades exploradas e campanhas contra telecom

Recapitulação técnica reúne falhas em Linux, Defender, Drupal, roteadores e cadeia de suprimentos

npm adiciona publicação com 2FA e controles de instalação contra ataques à cadeia de software

Boletim semanal reúne vazamentos, ransomware, falhas críticas e abuso de IA em campanhas de phishing

Grafana expõe código-fonte após comprometimento de token em ataque ao ecossistema npm

Plantão de ameaças

Receba alertas

Comunidade

Assuntos

Menu Footer Widget

Contato

ScarCruft usa Zoho WorkDrive e malware em USB contra redes isoladas

Talvez você goste destas postagens

Postar um comentário

0 Comentários

Siga o Cyber Guardian News

Mais lidas da semana

Boletim semanal reúne violações, phishing, vulnerabilidades exploradas e campanhas contra telecom

Recapitulação técnica reúne falhas em Linux, Defender, Drupal, roteadores e cadeia de suprimentos

npm adiciona publicação com 2FA e controles de instalação contra ataques à cadeia de software

Boletim semanal reúne vazamentos, ransomware, falhas críticas e abuso de IA em campanhas de phishing

Grafana expõe código-fonte após comprometimento de token em ataque ao ecossistema npm

Plantão de ameaças

Receba alertas

Briefing global de ameaças

Comunidade

Assuntos

Menu Footer Widget

Contato