Backdoor MonoGlyphRAT via e-mails falsos
Um backdoor JavaScript novo e inédito chamado JS.MonoGlyphRAT está sendo distribuído por e-mails com ordens de compra fraudulentas contra empresas dos Estados Unidos, segundo análise publicada nesta terça-feira (3) pela plataforma ANY.RUN. O malware opera via Windows Script Host, estabelece persistência no registro do Windows e funciona como loader para payloads adicionais, incluindo ransomware.
As vítimas são funcionários de departamentos de compras, vendas e finanças que recebem anexos .js disfarçados de cotações e propostas comerciais. Uma vez executado sob wscript.exe, o MonoGlyphRAT cria wrappers para WScript e WMI, coleta telemetria do sistema e se comunica com servidores C2 via cabeçalhos HTTP personalizados — um padrão que escuta a maioria das defesas tradicionais baseadas em assinatura.
Mecanismo de entrega e obfuscação
O malware utiliza uma convenção de nomensclatura distinta para frustrar análise estática: variáveis e funções compostas por repetição de caracteres em caixa mista, como IiIiIiIiiIII ou KkkKKKkKkK. Esse padrão “monoglyph” degrada severamente a legibilidade do código, dificultando a triagem manual.
A execução começa com o arquivo .js abrindo-se sob o interpretador wscript.exe, que é um processo legítimo do Windows. Em seguida, o malware copia-se para um subdiretório em %USERPROFILE% e cria uma entrada de autorun na chave de registro HKCU\Run, garantindo execução em cada logon do usuário.
| Etapa | Ação | Detalhe Técnico |
|---|---|---|
| 1. Chegada | E-mail com anexo .js falso | Disfarçado de pedido de compra ou cotação |
| 2. Execução | wscript.exe executa payload | Processo legítimo do Windows, sem alertas visuais |
| 3. Persistência | Registro HKCU\Run | Cópia em subdiretório do perfil do usuário |
| 4. C2 | Cabeçalhos X-A e X-S | POST com corpo a=iz&b=<data> |
| 5. Payload | PowerShell encriptado via AES | Bypass de AMSI, carregamento de .NET em memória |
Capacidades do backdoor
O MonoGlyphRAT atua como backdoor persistente e loader flexível. Ele coleta informações detalhadas do sistema via WMI — incluindo modelo de hardware, número de série, capacidade de memória, GPU e lista de processos únicos — e envia tudo em JSON codificado com XOR para o servidor de comando e controle.
O C2 opera por meio de cabeçalhos HTTP: X-S identifica a sessão e X-A contém o comando. Os payloads subsequentes são stagers PowerShell encriptados com AES que o malware descriptografa e executa em memória, sem tocar no disco. Essa cadeia permite entregar ransomware, ferramentas de exfiltração ou RATs adicionais.
A ameaça está classificada como engenharia social sofisticada que explora a confiança em documentos comerciais legítimos. Casos recentes como o malware distribuído via páginas falsas mostram uma tendência crescente de ataques que abusem de fluxos de trabalho cotidianos.
Deteção e mitigação
No VirusTotal e ThreatFox, o malware continua classificado como “desconhecido”, o que torna defesas baseadas em assinatura ineficazes. A deteção confiável depende de análise comportamental: execuções atípicas de wscript.exe a partir de diretórios de usuário, processos PowerShell encadeados disparados por interpretadores de script, e modificações suspeitas em HKCU\Run.
Recomendações imediatas incluem bloquear execução de arquivos .js via GPO, detonar anexos de pedidos de compra em sandbox interativo (como o ANY.RUN) antes da entrega aos endpoints, e monitorar beaconing HTTP para portas e caminhos incomuns — como o endpoint ceoznp detectado no IP 158.94.211.76.
Indicadores de comprometimento
- IPs C2: 158.94.211.76, 91.92.243.79
- Domínios: scan.aryamint[.]com, aryamint[.]com
- Ponto final C2: hxxp://158.94.211.76:34567/ceoznp
- Cabeçalhos HTTP: X-A:, X-S:
- Padrão POST: a=iz&b=<data>