GHOSTFORM RAT
GHOSTFORM é um trojan de acesso remoto (RAT) baseado em .NET, projetado para combinar diversas funcionalidades maliciosas em um único executável binário. O malware executa scripts do PowerShell diretamente na memória, reduzindo a probabilidade de detecção por ferramentas de segurança tradicionais. Para burlar ainda mais os mecanismos de segurança, ele utiliza técnicas como formulários invisíveis do Windows e temporizadores de execução com atraso. Devido ao seu comportamento furtivo e amplas capacidades, qualquer detecção do GHOSTFORM deve acionar procedimentos imediatos de remoção e resposta a incidentes.
Índice
Cadeia de ataque um: Implantação de malware em vários estágios
A primeira cadeia de ataque começa com a entrega de um arquivo RAR protegido por senha, contendo um aplicativo falso projetado para se assemelhar ao WinRAR. Quando a vítima abre o arquivo, um dropper conhecido como SPLITDROP é executado. Este dropper instala dois componentes de malware adicionais: TWINTASK e TWINTALK.
O SPLITDROP inicialmente solicita uma senha da vítima para extrair um arquivo oculto. Se o arquivo já estiver presente no sistema, a execução é interrompida. Caso contrário, o dropper descriptografa um payload embutido em segundo plano, exibindo uma mensagem de erro enganosa para o usuário. O conteúdo descriptografado é armazenado no diretório 'C:\ProgramData\PolGuid', após o qual um executável legítimo chamado VLC.exe é iniciado para dar continuidade ao ataque.
Após a execução, o VLC.exe carrega uma biblioteca de vínculo dinâmico maliciosa chamada TWINTASK por meio de carregamento lateral de DLL. Esse componente aguarda instruções do atacante e as executa usando o PowerShell. Vários comandos são usados especificamente para estabelecer persistência no sistema e iniciar a próxima etapa da invasão. Como parte desse processo, um script executa o WingetUI.exe e cria entradas no registro, garantindo que tanto o VLC.exe quanto o WingetUI.exe sejam executados automaticamente sempre que o sistema for reiniciado.
TWINTALK e TWINTASK: Execução Coordenada de Comandos
Quando o WingetUI.exe é executado, ele carrega outro módulo malicioso conhecido como TWINTALK. Este componente se conecta ao servidor de comando e controle do atacante e recupera instruções. O TWINTALK trabalha em conjunto com o TWINTASK para executar comandos na máquina comprometida.
O TWINTALK suporta três categorias principais de comandos:
- Execução de comandos no dispositivo infectado
- Download de arquivos da infraestrutura do atacante
- Upload de arquivos do sistema comprometido para o atacante.
Por meio dessas funcionalidades, os atacantes obtêm amplo controle sobre o ambiente infectado.
Segunda Cadeia de Ataque: Execução Direta da FORMA FANTASMA
A segunda cadeia de ataque usa o próprio GHOSTFORM para executar todas as funções tratadas por múltiplos componentes na primeira cadeia. Em vez de implantar vários arquivos ou depender do carregamento lateral de DLLs, essa variante executa comandos do PowerShell diretamente na memória.
Para permanecer indetectável, o malware cria um formulário invisível do Windows que atrasa a execução antes da detonação do payload. Além disso, a campanha utiliza o Google Forms como parte de uma estratégia de engenharia social para incentivar as vítimas a iniciarem a atividade maliciosa.
Técnicas de Evasão e Persistência
O GHOSTFORM incorpora múltiplos mecanismos projetados para reduzir a detecção e manter o acesso a longo prazo a sistemas comprometidos. O malware atrasa deliberadamente sua atividade gerando um formulário do Windows quase invisível que executa um temporizador com um atraso determinado aleatoriamente antes de continuar a execução.
Ele também cria um mutex para garantir que apenas uma instância do malware seja executada no sistema e gera um identificador de bot exclusivo para rastrear máquinas infectadas. Trojans de acesso remoto desse tipo são comumente usados para implantar cargas adicionais, roubar dados e arquivos confidenciais ou realizar outras operações maliciosas no ambiente da vítima.
As principais funcionalidades geralmente associadas à campanha incluem:
- Implantação de cargas úteis de malware adicionais
- Roubo de informações e arquivos de dispositivos infectados
- Execução remota de comandos através do PowerShell
- Persistência a longo prazo em sistemas comprometidos
Engenharia Social ClickFix: Vetor de Infecção Centrado no Ser Humano
A campanha não se baseia apenas na distribuição de malware. Ela também incorpora uma técnica de engenharia social conhecida como ClickFix para comprometer sistemas. Os atacantes criam páginas da web falsas e convincentes, projetadas para manipular os usuários e levá-los a executar comandos maliciosos.
Exemplos incluem convites falsificados para reuniões do Cisco Webex ou formulários web fraudulentos que parecem legítimos. As vítimas são instruídas a executar comandos que baixam e executam malware automaticamente, iniciando a invasão sem saber.
Combinando malware e engano
Esta campanha demonstra uma abordagem coordenada que combina a implantação técnica de malware com manipulação psicológica. Os atacantes distribuem arquivos maliciosos disfarçados de programas inofensivos semelhantes ao WinRAR. Quando abertos, os arquivos injetam componentes ocultos de malware no sistema operacional.
Uma vez instalado, um dos componentes é executado silenciosamente em segundo plano, verificando periodicamente o servidor do atacante em busca de instruções criptografadas e executando-as por meio do PowerShell. Paralelamente, ataques do tipo ClickFix se baseiam em pesquisas falsas, convites enganosos para reuniões ou formulários online fraudulentos para persuadir os usuários a executar comandos que acionam o download de malware.
Ao combinar ferramentas avançadas de malware, como TWINTASK, TWINTALK e GHOSTFORM, com técnicas de engenharia social cuidadosamente elaboradas, os agentes de ameaças aumentam significativamente a taxa de sucesso na invasão de sistemas e mantêm o controle remoto persistente sobre os dispositivos infectados.
