Um novo malware sofisticado chamado MLTBackdoor tem sido identificado em campanhas de ataque recentes, utilizando uma cadeia de infecção multiestágio baseada na técnica de engenharia social conhecida como ClickFix. Pesquisadores da Zscaler ThreatLabz analisaram a ameaça e notaram que ela é projetada para estabelecer uma presença profunda nos sistemas infectados, escondendo-se de ferramentas de segurança convencionais. A descoberta foi feita em maio de 2026, mas a campanha de distribuição continua ativa, representando um risco significativo para organizações que não possuem monitoramento adequado de vetores de entrada não tradicionais.
Descoberta e escopo da ameaça
O MLTBackdoor se destaca por sua capacidade avançada de ocultação e persistência. Diferente de malwares genéricos, este threat actor investiu esforço considerável na ofuscação do código, com cerca de 95% do código composto por operações matemáticas desnecessárias destinadas a confundir analistas de segurança. Além disso, a malware utiliza técnicas de controle de fluxo achatado, transformando funções simples em labirintos complexos que dificultam a engenharia reversa.
A campanha de distribuição começa com um link malicioso hospedado em páginas web relacionadas ao setor automotivo. O gatilho inicial é um prompt de ClickFix, que engana o usuário para copiar e colar um comando no terminal. Essa ação aciona silenciosamente uma série de comandos que baixam um arquivo compactado, descriptografam um payload oculto e instalam o backdoor profundamente no sistema.
Vetor de infecção e cadeia de ataque
A cadeia de infecção é meticulosamente coreografada para maximizar a chance de sucesso. O processo inicia-se quando o usuário interage com o prompt de ClickFix. Em segundo plano, o comando cria uma pasta, baixa um arquivo disfarçado de um domínio gerado por algoritmo (DGA) e utiliza um arquivo legítimo do Microsoft Defender chamado mpextms.exe para carregar o backdoor real.
Essa técnica de sideloading de DLLs permite que o malware se disfarce como um processo legítimo, passando despercebido por ferramentas de segurança básicas. Dentro do arquivo compactado baixado, existem dois arquivos principais: data.bin e endpointdlp.dll. O arquivo DLL descriptografa o conteúdo do data.bin usando criptografia RC4, revelando o segundo estágio do payload, que é o próprio MLTBackdoor.
Técnicas de evasão e capacidades
Uma vez ativo, o MLTBackdoor executa dez verificações de ambiente distintas antes de realizar qualquer ação significativa. Ele varre a presença de máquinas virtuais, depuradores, ferramentas de análise específicas e drivers de sandbox. O malware também verifica se a memória RAM do sistema está abaixo de dois gigabytes ou se o número de processadores é apenas um. Essas verificações alimentam um bitmask que é enviado silenciosamente ao servidor do atacante durante a primeira verificação, fornecendo uma imagem completa do ambiente alvo.
Além da ocultação, o malware possui um conjunto funcional de comandos embutidos. Ele pode baixar e fazer upload de arquivos, listar diretórios e deletar, renomear ou criar pastas. Sua característica mais poderosa é um carregador de arquivos de objeto Beacon, que permite que os atacantes empurrem módulos de código personalizados diretamente na memória do malware. Isso significa que suas capacidades podem ser expandidas a qualquer momento sem nunca escrever arquivos no disco, tornando a detecção ainda mais difícil.
Comunicação e persistência
O MLTBackdoor se comunica através da porta 443 usando um protocolo binário criptografado personalizado, disfarçando seu tráfego para parecer atividade de sistema rotineira. Ele utiliza uma string de agente de usuário estilo Microsoft e um caminho de API fixo para se misturar, tornando muito mais difícil para ferramentas de monitoramento de rede sinalizar qualquer conexão como suspeita. O malware também vem equipado com um algoritmo de geração de domínio (DGA) que cria um novo domínio de comando e controle a cada dia.
Isso significa que, mesmo que as equipes de segurança consigam desligar um domínio, o malware pode silenciosamente mudar para um novo e continuar sem interrupção. Após a instalação, o malware realiza uma atualização automática e reutiliza o nome do arquivo endpointdlp.dll, adicionando outra camada de disfarce na máquina infectada.
Indicadores de comprometimento (IoCs)
As equipes de segurança são fortemente aconselhadas a bloquear todos os indicadores de comprometimento conhecidos e monitorar o uso incomum de binários legítimos da Microsoft. Os principais indicadores incluem hashes SHA256 específicos para o carregador de estágio um, o arquivo compactado e o próprio MLTBackdoor. Domínios maliciosos como hrs2y15sungu[.]com e carrolc[.]com foram identificados como servidores de comando e controle.
Arquivos suspeitos incluem endpointdlp.dll, data.bin e o uso indevido de mpextms.exe. A tabela abaixo resume os principais IoCs identificados pelos pesquisadores:
Tabela de Indicadores de Comprometimento (IoCs)
| Tipo | Indicador | Descrição |
|---|---|---|
| SHA256 | 1e41c7bfaa6aa3b93b6cc024274a10e33f3e12fe7c98c1db387ef8927f9d1984 | Carregador de estágio um |
| SHA256 | 46b2155c1e71b840d4b7a2e94410b89a61e2446523e6f497206d402eb02e0e93 | Compactado com carregador e MLTBackdoor |
| SHA256 | 9e52cc90cff150abe21f0a6440e86e0a99ff383b81061b96def8948e21d0ac66 | MLTBackdoor com domínios e DGA |
| Domínio | hrs2y15sungu[.]com | Domínio DGA usado na campanha |
| Domínio | carrolc[.]com | C2 do MLTBackdoor |
| Nome de Arquivo | endpointdlp.dll | DLL maliciosa para descriptografar |
Recomendações para CISOs e equipes de SOC
Organizações devem manter as regras de detecção de ameaças atualizadas para ataques de engenharia social estilo ClickFix e observar conexões de saída suspeitas na porta 443 que carreguem strings de agente de usuário incomuns. A auditoria regular de permissões de instalação em dispositivos de trabalho é crucial, pois alguns softwares promovidos nesses vetores são apresentados como ferramentas profissionais úteis. Além disso, programas de treinamento de phishing devem cobrir explicitamente as redes sociais e plataformas de vídeo como vetores de ataque, não apenas o e-mail.
Perguntas frequentes
Qual é o principal vetor de infecção do MLTBackdoor?
O principal vetor é a técnica ClickFix, onde usuários são enganados para executar comandos maliciosos em terminais.
Como o malware se comunica com o C2?
Ele usa a porta 443 com um protocolo binário criptografado personalizado e muda de domínio diariamente via DGA.
É possível detectar o MLTBackdoor com antivírus tradicional?
A detecção é difícil devido à ofuscação avançada e ao uso de binários legítimos da Microsoft para sideloading.