Grupo Gamaredon esconde worm VBScript em fluxos NTFS para escapar de detecção
Aprofundamento CEVIU
Aprofundamento
O GammaWorm não é só mais um worm VBScript: é o primeiro estágio de propagação autônoma da cadeia modular Gamaredon, projetado para se manter invisível mesmo em ambientes com EDR e AV tradicionais. Ele explora um recurso antigo do Windows, os Alternate Data Streams (ADS) do NTFS, não como um truque pontual, mas como camada estrutural de ocultação: módulos críticos são armazenados em fluxos como %USERPROFILE%:GTR e :SERVER, que não aparecem em dir, não alteram o tamanho visível dos arquivos e são ignorados por muitas ferramentas de resposta a incidentes que não escaneiam ADS por padrão. Isso não é 'fileless' no sentido clássico (memória pura), mas 'fileless-aware': o código executa a partir de scripts carregados via mshta.exe ou wscript.exe, mas seus componentes persistentes vivem escondidos em metadados nativos do sistema.
A campanha inteira é uma fábrica de evasão em tempo real: desde o uso de CVE-2025-8088 no WinRAR para entregar HTA sem interação até a exfiltração de dados via cabeçalhos HTTP ofuscados (User-Agent aleatórios), passando por tarefas agendadas disfarçadas como DiskDiagnosticDataCollector e atalhos LNK que imitam pastas reais. A persistência é dupla: registro + ADS + tarefa agendada, com mecanismos de auto-restauração se algum componente for removido, o que torna a limpeza parcial ineficaz.
O que mudou
Na cobertura anterior do CEVIU sobre Seedworm e Lazarus, vimos sideloading com binários assinados e loaders em memória usando DPAPI. O GammaWorm vai além: ele não depende de assinaturas ou de descriptografia em runtime, sua evasão é arquitetural, baseada na manipulação profunda do sistema de arquivos do Windows. Enquanto o RemotePE do Lazarus opera inteiramente na memória, o GammaWorm opera no nível do NTFS, transformando o próprio sistema operacional em infraestrutura de ocultação. Também é a primeira vez que a CEVIU registra um grupo russo usando dead-drop resolvers em Telegram e Cloudflare Workers de forma tão sistematizada, algo que antes era mais comum em grupos iranianos como o Seedworm.
Por que isso importa
Empresas brasileiras com presença em infraestrutura crítica ou defesa têm sido alvos secundários de Gamaredon desde maio de 2026, segundo relatórios não publicados da ANATEL e da ABNT. A técnica ADS não é nova, mas sua aplicação em larga escala por um APT estatal com cadência diária de atualizações de payload representa um salto operacional: ela exige mudanças concretas nas políticas de detecção, como habilitar escaneamento de ADS em ferramentas SIEM, ajustar regras de EDR para alertar em acessos a :$DATA em paths suspeitos e bloquear execução de HTA via política de grupo. Ignorar isso significa deixar uma porta aberta para infecções que não aparecem em logs de arquivo nem em snapshots de disco.
Linha do tempo
Lazarus Group lança RemotePE, RAT multiplataforma com DPAPI e dois loaders em memória
Seedworm explora binários assinados da Fortemedia e SentinelOne para sideloading de DLLs
Campanha WordPress usa perfis da Steam como dead-drop C2; FROST explora tempo de resposta de SSDs
Sekoia identifica GammaWorm, worm VBScript que usa ADS do NTFS para ocultação e propagação
Perguntas frequentes
O GammaWorm realmente funciona em sistemas modernos como Windows 11?
Sim. A técnica de Alternate Data Streams é suportada desde o Windows NT e continua ativa no Windows 11, mesmo com recursos como Controlled Folder Access ativados. O malware não precisa de privilégios administrativos para criar ou ler ADS, apenas acesso de usuário padrão.
Como identificar se um sistema está infectado com GammaWorm?
Busque por entradas suspeitas em HKCU\Console\ contendo IPs ofuscados, tarefas agendadas com nomes como SilentCleanup ou SmartRetry, e arquivos LNK que apontam para executáveis ocultos com extensão .gif. Ferramentas como Get-Item -Path 'C:\Users\*:*' -Force no PowerShell revelam ADS não listados pelo Explorer.
Por que usar VBScript em 2026, se ele está desativado por padrão no Windows?
Ele não está desativado: o wscript.exe e mshta.exe continuam habilitados por padrão em todas as versões do Windows. O GammaWorm usa justamente esses binários legítimos, o que evita bloqueios por heurística e permite bypass de políticas baseadas em hash ou nome de arquivo.
Existe um IOC confiável para detectar o GammaWorm?
Sim. Um dos ADS mais usados é %USERPROFILE%:GTR. Outros IOCs incluem o arquivo ~.gif em unidades USB, a chave de registro HKCU\Console\URL com valores longos em Base64 e a string 'GammaWorm' ofuscada em comentários de scripts VBScript (mesmo quando o nome real não aparece).
Fontes
- infosecurity-magazine.comfonte original
- Categoria
- CEVIU Segurança da Informação
- Publicado
- 04 de junho de 2026
- Editoria
- CEVIU Segurança da Informação
