Uma campanha de malware recentemente documentada demonstra como os invasores estão aproveitando os atalhos do Windows LNK para entregar o infostealer MastaStealer.
O ataque começa com e-mails de spearphishing contendo arquivos ZIP com um único arquivo LNK que executa um processo de infecção em vários estágios.
Quando as vítimas clicam no atalho malicioso, ele inicia o Microsoft Edge enquanto abre o site AnyDesk em primeiro plano para parecer legítimo.
Enquanto isso, em segundo plano, o arquivo LNK baixa e executa silenciosamente um instalador MSI de um domínio comprometido.
A cadeia de infecção revela técnicas sofisticadas de evasão. O instalador MSI extrai sua carga útil para uma estrutura de diretório oculta em %LOCALAPPDATA%\Temp\MW-\files.cab, depois descompacta o conteúdo e descarta o beacon C2 real em %LOCALAPPDATA%\Microsoft\Windows\dwm.exe.
Este nome de arquivo imita processos legítimos do Windows Display Window Manager, tornando a detecção mais difícil para ferramentas de segurança.
A campanha contornou com sucesso os métodos tradicionais de detecção por meio de posicionamento cuidadoso de arquivos e convenções de nomenclatura de processos.
Maurice Fielenbach, analista de pesquisa e treinamento de segurança da Infosec, identificou essa infecção após descobrir logs de eventos do Windows Installer mostrando falhas no ID de evento 11708 do aplicativo.
O alerta foi acionado porque o usuário comprometido não tinha privilégios de administrador local, fazendo com que a implantação do MSI falhasse inesperadamente.
Esta falha, ironicamente, salvou o sistema de um comprometimento total e revelou o ataque aos defensores.
Exclusão do Defender Baseado em PowerShell
O aspecto mais crítico desta campanha envolve o comando PowerShell executado durante a instalação para desabilitar as proteções do Windows Defender.
O malware executa o seguinte comando para criar um caminho de exclusão para seu beacon C2: Add-MpPreference -ExclusionPath “C:\Users\admin\AppData\Local\Microsoft\Windows\dvm.exe”.
Este único comando remove a verificação em tempo real do Windows Defender para o malware executável, permitindo que ele se comunique livremente com servidores de comando e controle em cmqsqomiwwksmcsw(.)xyz (38.134.148.74) e ykgmqoyusggyyya(.)xyz (155.117.20.75).
A técnica demonstra como os invasores contornam a proteção moderna de endpoints, explorando recursos legítimos de administração do Windows, em vez de forçar a passagem pelos controles de segurança.
As organizações devem monitorar a execução incomum do PowerShell com parâmetros MpPreference e implementar a lista de permissões de aplicativos para evitar modificações não autorizadas do Defender.
Siga-nos no Google News, LinkedIn e X para obter mais atualizações instantâneas, defina CSN como fonte preferencial no Google.
