Fake Screenshot Lures Used to Infect Web3 Support Staff With Multi-Stage Malware
Um grupo de ameaças conhecido como APT-Q-27, também rastreado como GoldenEyeDog, tem executado uma campanha ativa contra equipes de suporte ao cliente do setor Web3. A operação utiliza links de captura de tela falsos em janelas de chat ao vivo para instalar silenciosamente um backdoor persistente nas máquinas das vítimas. O ataque foca no elo mais humano de qualquer organização — o agente de suporte — em vez de explorar vulnerabilidades de software ou fraquezas de rede.
Evolução da estratégia do grupo APT-Q-27
O grupo GoldenEyeDog tem sido ativo desde pelo menos 2022 e possui um histórico forte de targeting dos setores de apostas e criptomoedas. Campanhas anteriores dependiam de software trojanizado e sites de watering hole, mas esta operação marca uma mudança clara de estratégia. Em vez de esperar que as vítimas tropeçassem em uma página maliciosa, os atacantes vão diretamente para a fila de suporte, fingindo ser clientes confusos buscando ajuda com uma transação.
Analistas da ZeroShadow identificaram esta campanha após seus parceiros na 1inch sinalizarem atividade incomum na fila de suporte. Múltiplos pedidos de ajuda de contas diferentes e endereços IP rotativos seguiam o mesmo padrão: um shortlink disfarçado como uma captura de tela. A ZeroShadow rastreou a ferramenta, mapeou a infraestrutura e rastreou a atividade de volta ao APT-Q-27 com confiança moderada.
Técnica de entrega e execução do malware
O que os atacantes entregaram foi um pacote de malware multiestágio sofisticado. A vítima recebe um link no chat que parece ir para uma imagem hospedada no Google. Ao clicar, um arquivo com um nome que parece uma foto é baixado. No Windows, as extensões de arquivo são ocultas por padrão, fazendo com que o arquivo pareça uma imagem comum.
O arquivo usa o formato .pif, um tipo executável obscuro que a maioria das pessoas nunca reconheceria como uma ameaça. Ao abri-lo, exibe o que parece ser uma página da web quebrada, enquanto a instalação do malware roda silenciosamente em segundo plano. O arquivo final se comunica com 37 servidores de comando e controle (C2) hardcoded sobre a porta TCP 15628 e registra-se como um serviço do Windows chamado "Windows Eventn", um erro de digitação deliberado projetado para se misturar a uma lista de serviços.
DLL Sideloading e entrega escalonada
Uma vez que o arquivo isca é executado, ele entra em contato com um bucket AWS S3 para buscar um arquivo de manifesto — uma lista atualizável remotamente de URLs apontando para o próximo conjunto de componentes. Este design permite que os atacantes rotacionem sua infraestrutura sem nunca modificar o próprio malware.
O pacote baixado inclui um binário legítimo e assinado da plataforma YY chamado updat.exe, juntamente com cópias maliciosas de dois arquivos de tempo de execução padrão do Windows — vcruntime140.dll e msvcp140.dll. Como o Windows pesquisa o diretório de trabalho do aplicativo antes da pasta do sistema ao carregar dependências, o lançamento do updat.exe a partir do diretório de staging faz com que ele carregue os DLLs maliciosos em vez dos reais.
O DLL malicioso, crashreport.dll, lê um arquivo criptografado chamado yyext.log, o descriptografa na memória e executa o shellcode resultante sem escrever um arquivo em disco. Esta etapa contorna as ferramentas de varredura de memória que procuram executáveis injetados. O shellcode então descomprime um backdoor final de cerca de 340KB inteiramente dentro da memória do processo, deixando nenhum artefato de arquivo para trás.
Persistência e detecção
Para persistência, o loader escreve uma chave de inicialização de registro usando o nome "SystemUpdats", um erro de digitação deliberado do legítimo "SystemUpdate", garantindo que o malware seja iniciado sempre que a máquina reiniciar. O diretório de staging imita o caminho de cache de atualização do Windows, e toda instalação inclui uma tag hardcoded @27 no nome do diretório, servindo como uma assinatura de detecção confiável.
Administradores de sistema devem habilitar extensões de arquivo visíveis em todas as estações de trabalho, pois isso sozinho exporia o arquivo isca. Equipes de segurança devem bloquear todas as conexões de saída na porta TCP 15628 e adicionar os 37 endereços IP C2 conhecidos às listas de bloqueio de rede. A monitoração para o valor de registro "SystemUpdats" e diretórios de staging contendo o sufixo @27 revelará infecções ativas.
Recomendações para CISOs
As regras de detecção também devem alertar sobre a desativação simultânea das três chaves de registro UAC, pois nenhum software legítimo realiza essa ação. A equipe de segurança deve treinar agentes de suporte para não clicar em links recebidos de clientes em chats de suporte, mesmo que pareçam legítimos. A implementação de soluções de sandboxing para arquivos baixados de fontes externas é recomendada.
Perguntas frequentes
Qual é o principal vetor de ataque? Links de captura de tela falsos em chats de suporte ao cliente Web3. Como o malware persiste? Através de uma chave de registro de inicialização com nome misspelled e um serviço do Windows disfarçado. Qual a porta de comunicação C2? TCP 15628.