Um grupo de hackers vinculado a estados foi identificado operando uma operação de recrutamento falsa altamente elaborada para implantar malware personalizado em vítimas desavisadas. O grupo, conhecido como Nimbus Manticore e também rastreado como UNC1549 e Smoke Sandstorm, tem um histórico de longo prazo de direcionar profissionais nos setores aeroespacial e de defesa no Oriente Médio e na Europa. Sua campanha mais recente mostra um aumento notável na sofisticação técnica, combinando engenharia social com uma cadeia de entrega de malware em múltiplas etapas difícil de detectar.
Descoberta e escopo da campanha
Os atacantes começaram entrando em contato com funcionários no LinkedIn através de um perfil de recrutador falso, mas convincente. A persona afirmava estar caçando talentos para a Ebix, uma empresa real de tecnologia de seguros e bancos, e oferecendo um salário de 200.000 dólares para tornar a proposta mais atraente. As vítimas foram então direcionadas a um portal de contratação falso e polido em ebix[.]recruitment-flow[.]com, que exigia credenciais de login antes que qualquer conteúdo malicioso fosse servido.
Analistas da Nextron identificaram esta cadeia de infecção sofisticada de sideloading durante um recente engajamento de resposta a incidentes, atribuindo a atividade ao Nimbus Manticore com confiança. O relatório detalha como os operadores evoluíram suas técnicas enquanto mantinham os mesmos padrões subjacentes em suas operações.
Vetor e exploração técnica
Uma vez logados no portal falso, as vítimas foram solicitadas a baixar o que parecia ser um aplicativo de autenticação de dois fatores (2FA) para maior segurança durante o processo de contratação. Esse aplicativo chegou como um arquivo ZIP carregando o malware real. Todo o fluxo foi projetado para parecer rotineiro, reduzindo a guarda da vítima em cada etapa antes que o payload tivesse a chance de executar.
O arquivo ZIP continha um componente do Microsoft Visual Studio renomeado chamado setup.exe, que é legítimamente assinado pela Microsoft. Os atacantes modificaram seu arquivo de configuração para enganar o runtime .NET para carregar uma biblioteca maliciosa chamada TOTPGuard.dll em vez de seguir a execução normal. Esta técnica, conhecida como AppDomain hijacking, significava que o processo inicial parecia limpo e era improvável que acionasse alertas de segurança padrão.
Após a vítima executar o setup.exe, foi exibida uma interface Ebix convincente pedindo uma chave secreta e, em seguida, exibindo um gerador de senhas de uso único funcional. O aplicativo se comportava como uma ferramenta real durante todo o processo, tornando muito mais difícil para as vítimas suspeitarem de algo errado.
Persistência, C2 e táticas de evasão
Por trás das cenas, o malware decifrou um payload incorporado usando chaves AES embutidas e o depositou em disco em um caminho dentro da pasta AppData do usuário. O malware então criou uma tarefa agendada chamada BackupCheck para executar em cada login, garantindo que permanecesse ativo na máquina infectada.
O payload principal, armazenado como main.dll, comunicou-se com servidores de comando e controle (C2) hospedados no Microsoft Azure, uma plataforma em nuvem confiável que se mistura ao tráfego de rede normal para muitas organizações. Os domínios C2 usados tinham nomes que soavam benignos e correspondiam ao tema da campanha de contratação, tornando-os fáceis de ignorar durante uma revisão rápida.
O implante nativo também executou verificações anti-análise, incluindo a verificação do próprio nome do processo e a verificação de depuradores ativos inspecionando o Bloco de Ambiente de Processo (PEB). Os operadores pareceram aumentar significativamente o nível de ofuscação de código em comparação com campanhas anteriores, provavelmente em resposta a relatórios públicos anteriores de outros fornecedores de segurança.
Medidas de mitigação recomendadas
Os defensores podem tomar várias medidas concretas para reduzir a exposição a este tipo de ataque. As organizações devem bloquear ou restringir o acesso a domínios recém-registrados, particularmente em departamentos sensíveis como RH, finanças e jurídico. O uso do Windows AppLocker para impedir a execução de diretórios graváveis pelo usuário, como AppData e Temp, pode reduzir significativamente a chance de payloads em estágios serem executados.
O treinamento de conscientização de segurança também deve se expandir além do phishing baseado em e-mail para incluir plataformas de mídia social e engenharia social baseada em portais de emprego, onde este grupo provou ser especialmente ativo.
Indicadores de comprometimento (IoCs)
Os seguintes indicadores foram identificados e devem ser bloqueados nos sistemas de segurança:
- Arquivos:
TOTPGuard.zip,setup.exe.config,TOTPGuard.dll,main.dll - Domínios C2:
globalitconsultants[.]azurewebsites[.]net,ebix[.]recruitment-flow[.]com - Caminhos de arquivo:
\AppData\Roaming\2FAGuard\main.dll
O que os CISOs devem fazer imediatamente
Recomenda-se a revisão imediata dos logs de execução de aplicativos em diretórios de usuário, a implementação de restrições de AppLocker e a sensibilização das equipes de RH sobre a verificação de candidatos via canais oficiais. A monitoração de tráfego de saída para domínios Azure recém-criados também é crucial para detectar comunicações C2 anômalas.