Pesquisadores da Huntress identificaram uma operação sofisticada que utiliza executáveis legitimamente assinados pela Dragon Boss Solutions LLC para desativar produtos antivírus em escala global. A campanha, que afetou 23.565 hosts em 124 países, explora o mecanismo de atualização da ferramenta comercial Advanced Installer para distribuir scripts maliciosos com privilégios administrativos.
Mecanismo técnico e cadeia de ataque
O payload principal é distribuído como um arquivo MSI (Setup.msi) disfarçado como imagem GIF, contornando detecções básicas. O arquivo inclui DLLs legítimas do Advanced Installer para execução de scripts PowerShell e ações customizadas definidas no arquivo ‘!_StringData’, que contém instruções específicas para o instalador.
A distribuição ocorre através de browsers falsos como Chromstera Browser, Chromnius, WorldWideWeb, Web Genius e Artificius Browser, classificados como PUPs (programas potencialmente indesejados) mas com certificados digitais válidos. Uma vez no sistema, o payload executa verificações de status administrativo, detecção de máquinas virtuais e consulta ao registro para identificar produtos antivírus instalados.
Script ClockRemoval.ps1 neutraliza proteções
O componente central da operação é o script PowerShell ClockRemoval.ps1, implantado em dois locais no sistema com privilégios SYSTEM. O script estabelece persistência através de cinco tarefas agendadas e assinaturas de eventos WMI (Windows Management Instrumentation – interface que permite gerenciamento e monitoramento de recursos do Windows) que garantem execução na inicialização, login e a cada 30 minutos.
Durante o boot, um loop de polling mata processos de antivírus a cada 100 milissegundos por 20 segundos. A neutralização ocorre através de múltiplas técnicas: parada de serviços, eliminação de processos, exclusão de diretórios de instalação, remoção de entradas de registro, execução silenciosa de desinstaladores e bloqueio de domínios de atualização via modificação do arquivo hosts, redirecionando-os para 0.0.0.0.
Produtos-alvo e indicadores de comprometimento
Os principais alvos incluem Malwarebytes, Kaspersky, McAfee e ESET, além de interferência preventiva em browsers como Opera, Chrome, Firefox e Edge. Os domínios chromsterabrowser[.]com e worldwidewebframework3[.]com servem como infraestrutura de comando e controle para atualizações.
Os indicadores de comprometimento incluem os arquivos Setup.msi e ClockRemoval.ps1, diretórios de staging DGoogle e EMicrosoft (com exclusões no Windows Defender), modificação do arquivo hosts e criação de tarefas agendadas suspeitas com execução em privilégios SYSTEM.
Impacto em setores críticos
A análise de telemetria revela impacto significativo em 324 redes de alto valor, incluindo 221 instituições acadêmicas na América do Norte, Europa e Ásia, 41 redes de tecnologia operacional em setores de energia e infraestrutura crítica, 35 governos municipais e agências estaduais, 24 instituições educacionais primárias e secundárias, e três organizações de saúde.
A distribuição geográfica mostra 54% dos hosts infectados nos Estados Unidos, seguidos por França, Canadá, Reino Unido e Alemanha. Múltiplas empresas Fortune 500 também foram afetadas pela campanha.
Operador e timeline
A Dragon Boss Solutions LLC, registrada em Sharjah nos Emirados Árabes Unidos, aparece no CrunchBase como empresa de ‘pesquisa de monetização de busca’. O site da empresa está fora do ar e não há informações de contato disponíveis.
A presença inicial dos loaders foi detectada no final de 2024, com a descoberta formal pela Huntress em 22 de março através de alertas PUP. Nas 24 horas após o sinkhole (técnica de redirecionamento de tráfego malicioso para servidor controlado por pesquisadores) do domínio pela Huntress, 23.565 IPs únicos tentaram conectar ao servidor controlado.
Risco futuro e implicações
A infraestrutura de atualização permanece funcional e pode distribuir payloads mais perigosos a qualquer momento. A neutralização prévia do antivírus cria condições ideais para ataques subsequentes como ransomware, mineração de criptomoedas ou exfiltração de dados, sem necessidade de exploração adicional.
A operação não explora vulnerabilidades técnicas específicas (CVEs), mas representa um caso sofisticado de abuso de funcionalidades legítimas e confiança em certificados digitais válidos, demonstrando como atacantes podem contornar controles de segurança através de técnicas de living-off-the-land (uso de ferramentas legítimas do sistema para fins maliciosos).