Novo vetor de ataque com binário legítimo
Uma campanha de ataque recém-descoberta trouxe um executável do Windows raramente examinado para o centro das atenções. Atores de ameaças estão abusando ativamente do Fondue.exe, um utilitário legítimo da Microsoft integrado ao sistema operacional Windows, para carregar um arquivo de painel de controle malicioso chamado APPWIZ.cpl e implantar silenciosamente malware perigoso nas máquinas das vítimas.
A técnica é enganadoramente inteligente porque depende inteiramente de um binário do sistema confiável, tornando muito mais difícil para as ferramentas de segurança padrão detectá-la. O ataque começa com um instalador malicioso MSI, disfarçado como um aplicativo de software legítimo, entregue a usuários alvo através de sites enganosos que imitam ferramentas de desenvolvedores reais.
Como o Fondue.exe é explorado
O Fondue.exe é um utilitário do sistema Windows legítimo, oficialmente chamado de aplicativo "Features on Demand UX", versão 10.0.19041.1. Seu propósito normal é habilitar ou desabilitar componentes opcionais do sistema operacional Windows. Os atacantes exploraram o fato de que, quando o Fondue.exe é executado, ele procura por APPWIZ.cpl em seu diretório local antes de verificar os caminhos padrão do sistema Windows.
Ao colocar uma cópia maliciosa do APPWIZ.cpl na mesma pasta oculta do Fondue.exe, os atacantes forçam o binário confiável a carregar seu arquivo rogue em vez do real. O arquivo malicioso APPWIZ.cpl é compactado com UPX e protegido adicionalmente usando Oreans Code Virtualizer, uma ferramenta comumente usada para tornar a engenharia reversa extremamente difícil.
Uma vez carregado no espaço de memória do Fondue.exe, o arquivo de painel de controle rogue implanta um implante do framework de pós-exploração Sliver. O Sliver é uma ferramenta de simulação de adversário de código aberto que dá aos atacantes um ponto de apoio poderoso na máquina infectada, permitindo que emitam comandos remotos e se movam através de redes comprometidas com facilidade.
Objetivos de espionagem e persistência
Para manter a persistência, o applet malicioso cria uma tarefa agendada no Windows Task Scheduler que é executada a cada minuto. A tarefa é nomeada em um formato projetado para se misturar com a atividade legítima de atualização do Windows, como MicrosoftEdgeUpdateTaskMachineUA{GUID}, tornando-a fácil de ignorar durante auditorias de sistema rotineiras.
O implante se conecta ao servidor de comando e controle controlado pelo atacante em curtainbeatdisturbance[.]com e cria um mutex chamado MediumTurquoiseBeige para evitar a execução de instâncias duplicadas na mesma máquina.
A campanha tem visado principalmente organizações governamentais, militares e indivíduos envolvidos na fabricação e engenharia de drones. Os atacantes aproveitaram serviços falsos de registro de dispositivos Starlink e aplicativos de treinamento de pilotos de drones como iscas para enganar as vítimas a executarem os instaladores maliciosos.
Indicadores de comprometimento (IoCs)
Os pesquisadores recomendam que as organizações monitorem a execução inesperada de Fondue.exe de diretórios não padrão, especialmente fora de C:\Windows\System32. A implantação de detecção de endpoint que sinaliza o comportamento de side-loading de DLL e CPL, combinada com alertas para novas tarefas agendadas usando padrões de nomeação Microsoft Edge ou Microsoft Office, pode ajudar os defensores a capturar essa ameaça cedo.
Os usuários e administradores também devem evitar executar instaladores de software obtidos de fontes não oficiais, mesmo quando essas fontes parecem visualmente convincentes. O abuso de binários legítimos do Windows para side-loading de DLL e CPL continua sendo uma das técnicas mais eficazes usadas por atores de ameaças persistentes avançados.
Recomendações para equipes de SOC
1. Monitorar a execução de Fondue.exe fora do diretório System32.
2. Alertar para side-loading de arquivos .cpl em diretórios de usuário.
3. Revisar tarefas agendadas com nomes suspeitos de atualização.
4. Bloquear domínios de C2 conhecidos como curtainbeatdisturbance[.]com.
5. Implementar controle de aplicativos para restringir a execução de MSI não assinados.