Operação FAUX#ELEVATE usa VBScript ofuscado, checagem de domínio corporativo, exfiltração por SMTP e persistência com minerador para monetizar hosts Windows comprometidos.
| Componente | Arquivos VBScript disfarçados de currículo, toolkit FAUX#ELEVATE, navegadores Chromium e Firefox, XMRig, WinRing0x64.sys e RuntimeHost.exe em hosts Windows corporativos. |
| Vetor | E-mails de phishing em francês entregam um suposto currículo; ao abrir o arquivo, o VBScript exibe erro falso, verifica se a máquina está associada a domínio via WMI e tenta obter privilégios administrativos por prompts repetidos de UAC. |
| Impacto | Roubo de credenciais e arquivos de desktop, exfiltração por SMTP, instalação de minerador de Monero, alteração de controles locais de segurança e persistência de componente trojan. |
| Prioridade | Bloquear anexos VBS não confiáveis, investigar execuções de script associadas a currículos, revisar exclusões anômalas do Microsoft Defender, caçar XMRig e validar endpoints associados a domínio. |
| Artefatos | gmail2.7z, mozilla.vbs, mservice.exe, WinRing0x64.sys e RuntimeHost.exe aparecem na cadeia descrita. |
| Infraestrutura | Dropbox é usado para preparação de cargas, sites WordPress marroquinos comprometidos hospedam configuração de C2 e infraestrutura SMTP mail[.]ru é usada para exfiltração. |
A campanha FAUX#ELEVATE mira ambientes corporativos francófonos com uma isca de recrutamento: currículos falsos enviados por phishing. O arquivo entregue não funciona como documento comum; ele é um VBScript altamente ofuscado que tenta fazer a vítima acreditar que houve corrupção do conteúdo ao mostrar uma mensagem de erro em francês. Enquanto o usuário vê uma falha aparente, o script executa validações locais, prepara o ambiente e decide se a máquina tem valor corporativo suficiente para receber as próximas etapas da infecção.
O ponto central da operação é a combinação de roubo de credenciais, exfiltração de dados e mineração de criptomoeda em uma única cadeia. A atividade não se limita a implantar um minerador oportunista. O fluxo inclui abuso de serviços legítimos para hospedagem e transporte, uso de Dropbox para staging, obtenção de configuração em sites WordPress marroquinos comprometidos e envio de dados roubados por SMTP sobre infraestrutura mail[.]ru. Essa escolha reduz a visibilidade de alguns controles baseados apenas em reputação de domínio e exige correlação entre endpoint, identidade, navegação, processo e tráfego de saída.
O malware é seletivo. Antes de avançar, o dropper usa WMI para verificar se o sistema está associado a domínio. A condição exclui máquinas domésticas isoladas e concentra a execução em endpoints que provavelmente pertencem a empresas. Esse filtro aumenta o valor de cada infecção, porque credenciais de navegador, perfis de usuário e arquivos de desktop em estáções ingressadas em domínio tendem a ter relação direta com contas corporativas, aplicações internas, SaaS e fluxos administrativos. Para defesa, a seleção por domínio é um sinal importante: eventos de script em estáções corporativas devem receber prioridade maior quando aparecem junto de prompts de UAC, alteração de chaves de Registro e criação de exclusões do Microsoft Defender.
O dropper inicial é um VBScript inflado artificialmente. O arquivo tem 224.471 linhas, mas apenas 266 contêm código executável real; o restante é composto por comentários irrelevantes com frases aleatórias em inglês, elevando o tamanho para 9,7 MB. Essa técnica dificulta inspeção manual, aumenta ruído para alguns analisadores e tenta atrasar a extração da lógica útil. A ofuscação também reduz a chance de que a amostra seja classificada apenas por leitura superficial do conteúdo, principalmente quando o anexo é tratado como documento de currículo em fluxos de recrutamento.
Após a execução, o script apresenta erro falso em francês e realiza verificações para evitar ambientes de análise. Em seguida, entra em um ciclo persistente de UAC para induzir o usuário a conceder privilégios administrativos. Quando obtém privilégios elevados, o dropper altera a postura local do Windows: configura exclusões do Microsoft Defender para letras de unidade primárias de C a I, desabilita UAC por alteração no Registro e remove o próprio arquivo inicial. Essas ações são relevantes para investigação porque concentram eventos sensíveis em uma janela curta, antes que os módulos de roubo e mineração sejam deixados no sistema.
A cadeia baixa dois arquivos 7-Zip protegidos por senha a partir do Dropbox. Um deles, gmail2.7z, contém executáveis usados para roubo de dados e mineração de criptomoeda. Outro componente descrito, mozilla.vbs, é voltado a perfis e credenciais do Mozilla Firefox. Para navegadores baseados em Chromium, a operação usa um componente associado ao projeto ChromElevator para contornar proteções de app-bound encryption e extrair dados sensíveis armazenados pelo navegador. Depois da etapa de coleta, a exfiltração do conteúdo de navegador e de arquivos de desktop ocorre por contas remetentes mail[.]ru via SMTP para uma caixa controlada pelo operador.
A monetização continua com mservice.exe, identificado como minerador XMRig. A configuração de mineração é recuperada de um site WordPress marroquino comprometido, e o driver legítimo WinRing0x64.sys é usado para liberar maior aproveitamento de CPU para mineração. O componente RuntimeHost.exe atua como trojan persistente, altera regras do Windows Firewall e se comunica periodicamente com servidor C2. A sequência completa, da execução inicial do VBS até a exfiltração de credenciais, é descrita como concluída em aproximadamente 25 segundos, o que reduz a janela de reação humana e reforça a necessidade de bloqueio preventivo e telemetria automatizada.
A superfície exposta é formada por endpoints Windows usados em empresas francófonas, especialmente estáções ingressadas em domínio que recebem anexos de supostos candidatos ou documentos relacionados a currículo. A checagem por WMI cria uma distinção operacional: o malware evita sistemas domésticos autônomos e concentra recursos em ambientes onde há maior probabilidade de credenciais reutilizáveis, perfis corporativos de navegador, arquivos de desktop com valor operacional e conectividade com serviços internos ou SaaS.
Os navegadores são um alvo direto. Perfis Chromium ficam em risco por causa do componente que tenta superar app-bound encryption, enquanto Firefox aparece no fluxo por meio de mozilla.vbs. A presença de ferramentas separadas para famílias de navegador diferentes indica que a campanha busca ampliar coleta de credenciais e dados de sessão em vez de depender de um único repositório local. A implantação de XMRig e WinRing0x64.sys também amplia o impacto para desempenho, consumo de energia, estabilidade do endpoint e alertas de driver, sem que isso substitua a prioridade maior de contenção do roubo de credenciais.
- Estáções Windows associadas a domínio e expostas a anexos VBS entregues por phishing em francês.
- Perfis de navegadores Chromium e Mozilla Firefox armazenados localmente no endpoint comprometido.
- Arquivos no desktop do usuário, quando coletados pelo fluxo de exfiltração descrito.
- Controles locais do Windows, incluindo UAC, Microsoft Defender, Registro e Windows Firewall.
- Recursos de CPU explorados pelo minerador XMRig após a fase de roubo de dados.
A investigação deve começar por eventos de script em estáções de usuário, especialmente quando o nome, assunto do e-mail ou caminho de arquivo sugerem currículo, CV ou candidatura. O sinal não é apenas a execução de VBScript; a sequência suspeita inclui mensagem de erro aparente, chamadas WMI para identificar associação a domínio, elevação por UAC, alteração de Registro e criação de exclusões amplas no Microsoft Defender. A combinação dessas ações em segundos é mais forte do que qualquer artefato isolado.
No endpoint, procure criação ou execução de mservice.exe, carregamento de WinRing0x64.sys, presença de RuntimeHost.exe fora de caminhos esperados e uso de arquivos 7-Zip protegidos por senha baixados de serviços de compartilhamento. Em rede, a atenção deve recair sobre downloads do Dropbox ligados a anexos recém-abertos, conexões a sites WordPress marroquinos usados para recuperar configuração e sessões SMTP de saída para mail[.]ru a partir de estáções que normalmente não enviam e-mail diretamente. Como a exfiltração ocorre rapidamente, logs históricos de proxy, EDR, DNS, firewall local e servidor de e-mail precisam ser correlacionados no mesmo intervalo temporal.
- Execução de arquivos
.vbsrecebidos por e-mail e associados a nomes de currículo ou CV. - Consultas WMI seguidas de prompts de UAC e alterações no Registro relacionadas à desativação de UAC.
- Criação de exclusões do Microsoft Defender cobrindo letras de unidade de C a I.
- Download de arquivos 7-Zip protegidos por senha a partir de Dropbox em estáções de usuário.
- Execução de
mservice.exe, carregamento deWinRing0x64.syse presença persistente deRuntimeHost.exe. - Tráfego SMTP de saída para mail[.]ru partindo de endpoints, não de servidores de e-mail corporativos.
A resposta deve tratar o evento como comprometimento de credenciais antes de focar apenas na mineração. Em hosts com indício da cadeia, isole o endpoint, preserve artefatos de EDR e logs, identifique contas usadas no navegador e force rotação de senhas ou revogação de sessões para serviços corporativos acessados pelo usuário. Como a exfiltração pode ocorrer em cerca de 25 segundos, aguardar confirmação manual de todos os módulos aumenta o risco de uso posterior das credenciais. O bloqueio de SMTP direto a partir de estáções de trabalho, quando compatível com a arquitetura da empresa, reduz um canal relevante desta campanha.
No hardening, bloqueie ou restrinja VBScript para usuários que não precisam desse recurso, aplique políticas de anexos para impedir execução de scripts recebidos por e-mail e monitore alterações em exclusões do Microsoft Defender. A remoção do minerador deve incluir validação de driver, tarefas, serviços, regras de firewall e artefatos persistentes associados a RuntimeHost.exe. Também é necessário revisar downloads de Dropbox e acessos a sites WordPress desconhecidos no período do incidente, porque esses pontos aparecem como infraestrutura de estágio e configuração.
Para prevenção em equipes de recrutamento e áreas que recebem currículos, controles de conteúdo devem transformar anexos executáveis ou scripts em fluxo de quarentena. Quando documentos externos forem necessários, use conversão segura, visualização isolada e regras que diferenciem formatos de documento reais de arquivos de script mascarados. A mitigação efetiva combina bloqueio de execução, redução de privilégios administrativos no endpoint, alerta para alterações de segurança local e revisão de credenciais expostas em navegadores.
- Isolar endpoints com execução suspeita de VBScript e coletar telemetria antes de limpeza completa.
- Revogar sessões e rotacionar credenciais de contas usadas no host afetado, incluindo acessos armazenados em navegador.
- Bloquear VBScript e anexos executáveis de e-mail quando não houver necessidade operacional justificada.
- Monitorar e reverter exclusões amplas do Microsoft Defender e alterações de UAC no Registro.
- Bloquear SMTP direto de estáções de trabalho para domínios externos quando a política de rede permitir.
- Procurar e remover
mservice.exe,WinRing0x64.sys,RuntimeHost.exe, arquivos 7-Zip baixados e scripts remanescentes.
0 Comentários