# CleanUpLoader > Tipo: **loader / backdoor** - [Malpedia](https://malpedia.caad.fkie.fraunhofer.de/details/win.oyster) > [!info] Loader Pre-Rhysida - Malvertising via Bing e Instaladores Falsos > O CleanUpLoader (também conhecido como OysterLoader ou Broomstick) e um loader usado como precursor de ataques [[rhysida|Rhysida]] ransomware. Distribuido principalmente via malvertising em buscas do Bing Ads, o loader se disfaraca de instaladores legitimos do Microsoft Teams e Google Chrome. Usa certificados de assinatura de código válidos para contornar controles de segurança e estabelece backdoor HTTPS persistente antes do deploy do ransomware. ## Visão Geral O [[cleanuploader|CleanUpLoader]] (alternativas: OysterLoader, Broomstick) e um loader e backdoor identificado pela primeira vez em 2023 como componente do pre-ataque do [[rhysida|Rhysida]] ransomware. A Microsoft Threat Intelligence e a Rapid7 documentaram o CleanUpLoader como o implante de primeira etapa tipicamente instalado antes que os operadores do [[rhysida|Rhysida]] realizem reconhecimento mais profundo e eventualmente deployem o ransomware. O método de distribuição primario e malvertising via Bing Ads: o grupo compra anuncios patrocinados em buscas populares como "download Microsoft Teams" ou "download Google Chrome". Usuarios corporativos que clicam nesses anuncios sao levados a paginas de download convincentes que servem instaladores maliciosos assinados com certificados digitais legitimos ([[t1553-002-code-signing|T1553.002]]). Isso permite que o instalador passe por controles de UAC e algumas soluções de segurança. Após a instalacao, o CleanUpLoader executa tres funções principais: estabelece persistência via chaves de registro ([[t1547-001-registry-run-keys|T1547.001]]), coleta informações do sistema para perfil da vitima ([[t1082-system-information-discovery|T1082]]), e estabelece canal de comunicação HTTPS com o servidor C2 ([[t1071-001-web-protocols|T1071.001]]). O backdoor permite que os operadores do [[rhysida|Rhysida]] downloem ferramentas adicionais e realizem reconhecimento manual antes do deploy final do ransomware. **Plataformas:** Windows ## Como Funciona O CleanUpLoader opera como loader pre-ransomware com distribuição via malvertising: 1. **Malvertising**: anuncios Bing patrocinados para termos como "Microsoft Teams download" ou "Chrome download" 2. **Site de download falso**: pagina convincente serve instalador MSI/EXE com certificado de código válido 3. **Instalador duplo**: o instalador instala o software legitimo (Teams/Chrome) E o CleanUpLoader silenciosamente 4. **Persistência**: chave de registro Run para sobreviver a reinicializacoes ([[t1547-001-registry-run-keys|T1547.001]]) 5. **Reconhecimento**: coleta informações do sistema e perfil da rede 6. **C2 HTTPS**: comunicação encriptada com servidor de comando e controle 7. **Deploy Rhysida**: operadores assumem controle manual para reconhecimento e deploy do ransomware ```mermaid graph TB A["Malvertising Bing Ads<br/>Termos MS Teams Chrome<br/>Usuario corporativo"] --> B["Site Download Falso<br/>Certificado válido T1553.002<br/>Instalador convincente"] B --> C["Instalador Duplo<br/>Teams/Chrome real<br/>+ CleanUpLoader oculto"] C --> D["Persistência Registry<br/>T1547.001 Run Keys<br/>Sobrevive reinicio"] D --> E["Reconhecimento<br/>System info T1082<br/>Perfil do ambiente"] E --> F["C2 via HTTPS<br/>T1071.001<br/>Controle manual do atacante"] F --> G["Rhysida Deploy<br/>Ransomware implantado<br/>Big game hunting"] classDef malvert fill:#e74c3c,color:#fff classDef fake fill:#e67e22,color:#fff classDef install fill:#8e44ad,color:#fff classDef persist fill:#2980b9,color:#fff classDef recon fill:#27ae60,color:#fff classDef c2 fill:#c0392b,color:#fff classDef impact fill:#2c3e50,color:#fff class A malvert class B fake class C install class D persist class E recon class F c2 class G impact ``` ## Timeline ```mermaid timeline title CleanUpLoader - Historico 2023 : CleanUpLoader identificado - Microsoft Threat Intelligence : Associacao com Rhysida ransomware estabelecida : Malvertising via Bing Ads como vetor principal Out 2023 : CISA/FBI Advisory sobre Rhysida : CleanUpLoader documentado como pre-cursor 2024 : Continuidade - campanhas malvertising ativas : Novos temas de instaladores falsos observados 2025 : Grupo continua operacional : Certificados novos adquiridos para evasão ``` ## Técnicas Utilizadas | Tática | ID | Técnica | |--------|-----|---------| | Initial Access | [[t1566-002-spearphishing-link\|T1566.002]] | Link malicioso via anuncio Bing | | Execution | [[t1204-002-malicious-file\|T1204.002]] | Usuario executa instalador falso | | Defense Evasion | [[t1553-002-code-signing\|T1553.002]] | Certificado de assinatura de código válido | | Defense Evasion | [[t1036-005-match-legitimate-name-or-location\|T1036.005]] | Mascaramento como instalador Teams/Chrome | | Defense Evasion | [[t1027-obfuscated-files-or-information\|T1027]] | Payload CleanUpLoader ofuscado no instalador | | Persistence | [[t1547-001-registry-run-keys\|T1547.001]] | Chave registro Run para persistência | | Discovery | [[t1082-system-information-discovery\|T1082]] | Perfil do sistema e ambiente de rede | | C2 | [[t1071-001-web-protocols\|T1071.001]] | Comúnicação HTTPS com servidor C2 | | C2 | [[t1105-ingress-tool-transfer\|T1105]] | Download de ferramentas adicionais | ## Relevância LATAM/Brasil O CleanUpLoader/Rhysida e relevante para o Brasil pois o vetor de malvertising via buscas e amplamente explorado na regiao. O [[rhysida|Rhysida]] já atacou organizacoes brasileiras e latino-americanas, especialmente no setor de [[healthcare|saúde]] (o grupo e conhecido por atacar hospitais). O malvertising em buscas de instaladores de software empresarial (Teams, Chrome, Zoom) e uma ameaça concreta para funcionarios de empresas brasileiras que baixam software corporativo fora dos canais oficiais de TI. O uso de certificados digitais válidos e especialmente preocupante: soluções de segurança que confiam em código assinado sao contornadas, e o perfil de "instalador legitimo" passa por controles de UAC e politicas de execução. **Setores historicamente impactados:** [[healthcare|saúde]] - [[government|governo]] - [[technology|tecnologia]] ## Detecção - Monitorar downloads de instaladores de software popular (Teams, Chrome) de dominios nao-oficiais - Alertar para processos que iniciam connecoes HTTPS após instalacao de software corporativo - Detectar criação de chaves de registro Run por processos instaladores - Correlacionar certificados de assinatura de código com emissor - certificados de entidades desconhecidas em instaladores de software popular e red flag ```sigma title: CleanUpLoader Suspicious Installer Creates Registry Run Key status: experimental logsource: category: registry_event product: windows detection: selection_registry: TargetObject|contains: - '\CurrentVersion\Run\' - '\CurrentVersion\RunOnce\' selection_process: Image|endswith: - '\msiexec.exe' - '\setup.exe' - '\install.exe' condition: selection_registry and selection_process level: medium tags: - attack.persistence - attack.t1547.001 ``` ## Referências - [1](https://www.rapid7.com/blog/post/2024/06/20/fake-update-malware-threat-intelligence-report/) Rapid7 - Fake Updaté Malware Threat Intelligence Report (2024) - [2](https://www.microsoft.com/en-us/security/blog/2023/10/18/multiple-north-korean-threat-actors-exploiting-the-teamcity-CVE-2023-42793-vulnerability/) Microsoft Threat Intelligence - Rhysida Loader Analysis (2023) - [3](https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-319a) CISA/FBI - AA23-319A Rhysida Ransomware (2023) - [4](https://malpedia.caad.fkie.fraunhofer.de/details/win.oyster) Malpedia - Oyster/CleanUpLoader Family Details (2024) - [5](https://thedfirreport.com/2024/08/26/blacksuit-ransomware/) DFIR Report - Rhysida/CleanUpLoader Analysis (2024)