A campanha combina bombardeio de e-mails, ligação de falsa central de TI, acesso remoto assistido, sideloading de DLL e persistência com Havoc Demon e ferramentas RMM legítimas.
| Componente | Cadeia de engenharia social que entrega payloads personalizados do Havoc C2, incluindo agentes Havoc Demon e ferramentas RMM legítimas usadas para persistência. |
| Vetor | Bombardeio de e-mails seguido por ligação de falso suporte de TI, induzindo a vítima a conceder acesso remoto via Quick Assist ou instalar ferramentas como AnyDesk. |
| Impacto | Acesso remoto persistente, coleta de credenciais, execução de shellcode por sideloading de DLL e movimentação lateral; exfiltração de dados ou ransomware são objetivos possíveis, não confirmados. |
| Prioridade | Investigar sessões recentes de suporte remoto não solicitadas, execução de binários legítimos com DLLs suspeitas, tarefas agendadas persistentes e implantação de RMM não autorizado. |
| Artefatos | Foram citados ADNotificationManager.exe, DLPUserAgent.exe, Werfault.exe, vcruntime140_1.dll, Havoc Demon, Level RMM e XEOX. |
| Mitigação | Bloquear fluxos de suporte remoto não validados, remover persistência por tarefa agendada, revisar credenciais digitadas na página falsa e auditar endpoints alcançados após o host inicial. |
Uma campanha recente usou falso suporte técnico para transformar um problema fabricado de spam em acesso inicial a estáções corporativas. O fluxo começa com uma enxurrada de mensagens indesejadas contra caixas de entrada, criando pressão operacional sobre o usuário. Em seguida, o operador se apresenta como equipe de TI e oferece uma suposta correção. A vítima é levada a permitir uma sessão de Quick Assist ou a instalar uma ferramenta de acesso remoto, como AnyDesk. A partir desse ponto, a interação deixa de ser apenas phishing e passa a envolver controle ativo da máquina, navegação conduzida pelo adversário, coleta de credenciais e entrega de malware.
A carga principal observada é uma versão personalizada do Havoc C2, implantada por meio de agentes Havoc Demon. A cadeia também usa ferramentas RMM legítimas como mecanismo alternativo de permanência em hosts comprometidos. Em uma organização, a atividade evoluiu do acesso inicial para nove endpoints adicionais em cerca de onze horas. Esse ritmo indica operação manual agressiva depois da entrada inicial, com tentativa de expandir o controle antes que a fraude de suporte seja detectada. O objetivo final é descrito como possível preparação para exfiltração de dados, ransomware ou ambos, mas o material recebido não confirma a execução dessas etapas finais.
O método se alinha a playbooks já observados em campanhas de bombardeio de e-mail e phishing por Microsoft Teams associadas anteriormente a operações ligadas ao ransomware Black Basta. A atribuição, porém, permanece limitada: o mesmo padrão pode ter sido herdado por afiliados que migraram para outras operações, ou copiado por grupos rivais que adotaram a mesma técnica de engenharia social para obter acesso inicial. Para a defesa, o ponto central não é a marca do grupo, mas a combinação de pressão psicológica, acesso remoto legítimo, página falsa, sideloading de DLL e múltiplas formas de persistência.
A primeira fase usa spam em volume para saturar a caixa de entrada da vítima. Essa condição aumenta a probabilidade de o usuário aceitar ajuda externa, principalmente quando a ligação posterior parece explicar o problema que acabou de acontecer. O operador então se apresenta como suporte de TI e orienta a vítima a permitir acesso remoto. Com a sessão estabelecida, o adversário abre o navegador e conduz o usuário até uma página falsa hospedada em Amazon Web Services que imita a Microsoft. A página afirma oferecer um sistema de atualização de regras antispam do Outlook e solicita o endereço de e-mail antes de liberar a próxima etapa.
Quando a vítima aciona a opção de atualização de regras, a página executa um script que exibe uma sobreposição pedindo a senha. O mecanismo cumpre duas funções defensivamente relevantes: coleta a combinação de e-mail e senha, e reforça a aparência de legitimidade da suposta correção. A senha não deve ser tratada como um dado isolado, porque ela aparece no mesmo fluxo em que o adversário já tem controle remoto sobre a sessão do usuário. Isso aumenta o risco de validação imediata de credenciais, alteração de configurações e continuidade da operação em outros sistemas acessíveis a partir daquela identidade.
A entrega do malware ocorre por um suposto patch antispam. O arquivo leva à execução de binários legítimos citados como ADNotificationManager.exe, DLPUserAgent.exe ou Werfault.exe, usados para carregar uma DLL maliciosa por sideloading. Esse padrão explora a confiança do sistema operacional e de controles de segurança em executáveis conhecidos, enquanto o componente malicioso fica na biblioteca carregada no mesmo contexto. A DLL implementa evasão defensiva e executa shellcode do Havoc ao criar uma thread contendo o agente Demon. Um dos artefatos citados, vcruntime140_1.dll, incorpora ofuscação de fluxo de controle, atrasos baseados em tempo e técnicas como Hell's Gate e Halo's Gate para interagir com funções de ntdll.dll e contornar soluções EDR.
Depois da implantação no host inicial, a operação passa para movimentação lateral. A atividade pós-comprometimento é descrita como direta, mas rápida: o operador cria tarefas agendadas para iniciar o Havoc Demon sempre que endpoints infectados reiniciam, garantindo retorno de acesso após reinicializações e tentativas simples de limpeza. Em alguns hosts, em vez de depender apenas do Havoc, foram implantadas ferramentas RMM legítimas, incluindo Level RMM e XEOX. Essa diversificação dificulta a contenção porque a remoção de uma única família de payload não elimina necessariamente todos os canais de controle remoto.
A superfície principal envolve estáções de trabalho de usuários que recebem grande volume de spam e têm permissão operacional para iniciar sessões de suporte remoto. Ambientes que permitem Quick Assist sem validação forte, instalação local de AnyDesk ou uso livre de ferramentas RMM ficam mais expostos. O ataque não depende apenas de exploração técnica automatizada; ele usa autorização socialmente obtida para abrir caminho. Por isso, controles de endpoint precisam ser combinados com governança de suporte remoto, treinamento específico para chamadas não solicitadas e validação fora de banda antes de qualquer sessão interativa.
A cadeia também afeta organizações que confiam em binários legítimos sem monitorar a relação entre processo, diretório de execução e bibliotecas carregadas. A presença de nomes como Werfault.exe não é suficiente para classificar a execução como normal quando o processo aparece associado a diretórios incomuns, DLLs recém-criadas ou comportamento de rede incompatível com sua função esperada. A etapa de persistência amplia o escopo para endpoints alcançados lateralmente, sistemas com tarefas agendadas criadas durante a janela de ataque e hosts onde RMM legítimo foi instalado sem mudança aprovada.
- Estáções de usuários que sofreram bombardeio de e-mails antes de uma ligação de falso suporte técnico.
- Máquinas com sessões recentes de Quick Assist, AnyDesk ou outro acesso remoto iniciado por solicitação não verificada.
- Endpoints que executaram
ADNotificationManager.exe,DLPUserAgent.exeouWerfault.exeem contexto incomum com DLLs suspeitas. - Hosts com tarefas agendadas novas destinadas a relançar Havoc Demon após reinicialização.
- Sistemas com Level RMM ou XEOX instalados sem registro de mudança, chamado interno ou aprovação administrativa.
A investigação deve reconstruir a linha do tempo a partir do evento de spam inicial. O ponto de partida é identificar usuários que receberam grande volume de mensagens indesejadas em curto intervalo e, logo depois, tiveram sessão de suporte remoto, instalação de RMM, navegação para página que imitava a Microsoft ou execução de suposta atualização antispam. Logs de e-mail, EDR, proxy, DNS, navegação, criação de processos e autenticação precisam ser correlacionados por usuário e por host. A janela de onze horas observada em uma organização mostra que a movimentação lateral pode ocorrer no mesmo dia, antes que o incidente seja percebido como comprometimento.
No endpoint, a caça deve priorizar carregamento de DLL por binários legítimos, criação de threads associadas a shellcode, tarefas agendadas novas e persistência por ferramentas administrativas. Artefatos como vcruntime140_1.dll devem ser avaliados pelo caminho, assinatura, hash interno disponível na telemetria local, tempo de criação e relação com o processo chamador. A presença de atraso artificial, ofuscação de fluxo e chamadas indiretas para ntdll.dll pode aparecer como comportamento anômalo em sensores capazes de capturar telemetria de processo e memória. Como o texto recebido não fornece hashes nem domínios, a detecção deve focar classes de comportamento e não indicadores estáticos ausentes.
Em identidade, a prioridade é localizar uso da senha digitada na página falsa. Isso inclui autenticações imediatamente posteriores ao contato de suporte, falhas seguidas de sucesso, criação ou alteração de regras de caixa postal, acesso a painéis administrativos e uso de credenciais fora do padrão normal do usuário. Em rede, os sinais mais úteis são conexões de ferramentas RMM não autorizadas, comunicação persistente de hosts recém-comprometidos e navegação para página hospedada em AWS que se apresenta como serviço Microsoft sem pertencer ao fluxo corporativo legítimo.
- Picos de spam seguidos por chamadas de suporte relatadas pelo usuário ou por abertura de sessão remota no mesmo período.
- Instalação ou execução de AnyDesk, Level RMM, XEOX ou ferramenta equivalente sem chamado interno associado.
- Execução de binários legítimos com DLL local suspeita, especialmente quando o diretório e a assinatura não batem com o padrão do software.
- Criação de tarefas agendadas no host inicial e em endpoints acessados lateralmente durante a mesma janela operacional.
- Autenticações ou alterações de conta após a vítima inserir credenciais em uma página falsa de atualização antispam.
A resposta deve começar pela contenção dos canais remotos. Sessões ativas de Quick Assist, AnyDesk e RMM não autorizado precisam ser encerradas, e os hosts envolvidos devem ser isolados para preservar telemetria. Em paralelo, as credenciais digitadas no fluxo falso devem ser consideradas expostas. A rotação de senha, revogação de sessões, revisão de tokens e checagem de autenticações recentes são necessárias antes de devolver a conta ao uso normal. Como a operação combina malware e ferramentas legítimas, remover apenas o payload Havoc não é suficiente.
Na erradicação, a equipe deve procurar tarefas agendadas criadas durante a janela de ataque, DLLs associadas aos binários citados, instalações de RMM sem aprovação e qualquer mecanismo de reinício automático do agente Demon. A validação precisa cobrir o host inicial e os endpoints alcançados lateralmente, porque a campanha demonstrou capacidade de expandir rapidamente para várias máquinas. Após a limpeza, a organização deve revisar políticas de suporte remoto: chamadas não solicitadas não devem iniciar sessão interativa, usuários devem confirmar a solicitação por canal corporativo independente e a instalação de ferramentas RMM deve exigir controle administrativo e registro de mudança.
A prevenção passa por reduzir a eficácia do cenário fabricado. Filtros de e-mail podem ajudar a conter o bombardeio, mas a decisão crítica acontece quando alguém oferece ajuda por telefone. Procedimentos de help desk devem deixar claro que a equipe interna não pede senha em página externa, não conduz atualização antispam por site hospedado fora dos domínios aprovados e não solicita instalação improvisada de ferramenta remota. No endpoint, regras de aplicação, controle de DLL, monitoramento de tarefas agendadas e inventário de RMM fornecem barreiras adicionais contra a transição de engenharia social para persistência técnica.
- Isolar hosts com sessão remota suspeita e preservar telemetria de processo, rede, navegador e autenticação.
- Revogar sessões e trocar credenciais de usuários que inseriram e-mail e senha na página falsa.
- Remover tarefas agendadas, DLLs suspeitas e agentes Havoc Demon identificados nos endpoints afetados.
- Auditar e desinstalar AnyDesk, Level RMM, XEOX ou outro RMM sem aprovação formal.
- Exigir validação fora de banda para suporte remoto e restringir execução de ferramentas de acesso remoto a grupos e fluxos autorizados.
0 Comentários