Engenharia social com tema automotivo
Pesquisadores da Zscaler ThreatLabz identificaram uma nova família de backdoor, batizada de MLTBackdoor, distribuída por uma cadeia de infecção ClickFix com iscas do setor automotivo. O ataque começa quando a vítima copia, cola e executa comandos exibidos em uma página fraudulenta. Esses comandos baixam um arquivo compactado de um domínio gerado por algoritmo (DGA), que extrai dois artefatos: uma DLL chamada endpointdlp.dll e um payload criptografado em RC4 (data.bin). A DLL descriptografa data.bin, revelando o backdoor. Para executar com stealth, o malware faz sideload via um executável legítimo assinado do Microsoft Defender (MpCmdRun).
Motor BOF e ofuscação extrema
O MLTBackdoor foi projetado para resiliência e modularidade. Assim como em campanhas de engenharia social que usam instaladores falsos, o malware combina técnicas de evasão sofisticadas. Suporta operações de sistema de arquivos (download, upload, listagem, exclusão, renomeação) e inclui um loader de Beacon Object Files (BOF), compatível com o framework Cobalt Strike. Esse loader mapeia objetos MS-COFF em memória, resolve imports no estilo Beacon, aplica relocations e executa o ponto de entrada — permitindo que operadores implantem módulos de pós-exploração sem depositar binários adicionais no disco.
A ofuscação é agressiva: um ofuscador baseado em LLVM aplica Mixed Boolean-Arithmetic (MBA) e Control Flow Flattening (CFF). A ThreatLabz estima que cerca de 95% do código compilado é ruído de ofuscação. Strings são construídas dinamicamente byte a byte na pilha, derrotando ferramentas de busca estática. A resolução de APIs usa hash DJB2 executado em tempo de execução.
Evasão e comunicação cifrada
O malware emprega syscalls indiretos no estilo Hell’s Gate, construindo uma tabela de syscall a partir das exportações de ntdll e pulando para gadgets de syscall em vez de chamar wrappers Win32 potencialmente monitorados. As verificações anti-análise incluem detecção de hipervisor, timing loops, detecção de debugger, varredura de processos e janelas de ferramentas de análise, verificação de drivers, heurísticas de RAM/CPU/uptime e são agregadas em um bitmask enviado no check-in inicial.
A comunicação com o C2 usa protocolo binário criptografado sobre TLS na porta 443, com o caminho fixo /api/v1/telemetry e um User-Agent que imita tráfego da Microsoft. A negociação usa ECDH (P-256) para derivar uma chave de sessão AES-256-GCM. Os pacotes usam bytes mágicos “MLT” (0x014D4C54) e o implante implementa um DGA determinístico como fallback para conectividade C2.
Indicadores de comprometimento
| Hash SHA-256 (primeiros 16) | Descrição |
|---|---|
| 1e41c7bfaa6aa3b9 | Loader de estágio um |
| 46b2155c1e71b840 | Arquivo com loader e payload criptografado |
| 9e52cc90cff150ab | MLTBackdoor com domínios e DGA |
| ced6b0f44410f613 | MLTBackdoor variante DGA |
| d34e4038c5c80728 | Arquivo de atualização sideload |
Defensores devem monitorar domínios DGA documentados pela ThreatLabz, investigar o uso suspeito de mpextms.exe ou endpointdlp.dll e sinalizar sessões TLS anômalas para /api/v1/telemetry. Os indicadores completos estão disponíveis no GitHub da Zscaler ThreatLabz.
Como se proteger
Bloqueie a execução de comandos copiados do navegador em ambientes corporativos com políticas de AppLocker ou WDAC. Monitore processos filhos de navegadores e anomalias em MpCmdRun.exe. Implemente detecção de sideloading de DLLs assinadas por processos não padronizados. Inspecione tráfego TLS outbound para o caminho /api/v1/telemetry em destinos fora dos domínios conhecidos da Microsoft. Mantenha soluções EDR atualizadas com assinaturas para os hashes conhecidos do MLTBackdoor.