# Emmenhtal Loader > [!medium] Loader Multi-Estágio via ClearFake e ClickFix - Ativo desde 2024 > Emmenhtal (também chamado **PEAKLIGHT** pela Mandiant) é um loader multi-estágio identificado em fevereiro de 2024, utilizado por múltiplos atores financeiramente motivados nas campanhas **ClearFake** e **ClickFix** para distribuir infostealers como [[lumma-stealer|Lumma C2]] e [[cryptbot|CryptBot]]. O loader se oculta no **padding de binários Windows legítimos** (como `Dialer.exe` ou `BthUdTask.exe`) e utiliza uma cadeia MSHTA → JavaScript → PowerShell de múltiplas camadas de ofuscação para evadir detecção, com baixas taxas de detecção no VirusTotal apesar de ativo desde early 2024. ## Visão Geral Emmenhtal foi identificado e nomeado pelos analistas da Orange Cyberdefense em agosto de 2024, embora evidências mostrem atividade desde pelo menos fevereiro de 2024. O nome "Emmenhtal" (o queijo suíço) é uma referência interna da equipe de pesquisa que cunhou o termo. A Mandiant identificou o mesmo loader de forma independente em julho de 2024, denominando-o "PEAKLIGHT downloader". A característica técnica mais notável do Emmenhtal é a sua técnica de ocultação: o loader é embutido no **padding ao final de um binário Windows legítimo** (como o Dialer.exe, ferramenta de discagem do Windows). Ao comparar o executável Dialer.exe legítimo com o Emmenhtal, a única diferença é o conteúdo adicional no padding do PE - uma técnica eficaz para evadir detecção baseada em assinatura pois o arquivo parece (quase) idêntico ao original até análise profunda. O Emmenhtal opera como um loader em múltiplos estágios, utilizando uma cadeia que combina MSHTA (Microsoft HTML Application), JavaScript e PowerShell - cada camada com técnicas de ofuscação diferentes. Essa complexidade intencional dificulta análise automatizada e aumenta o tempo necessário para desenvolvimento de assinaturas de detecção. A geração automatizada de novas variantes (evidênciada pela uniformidade no padrão de ofuscação) sugere que os operadores usam ferramentas que geram automaticamente versões novas do loader regularmente. O Emmenhtal é usado por múltiplos grupos financeiramente motivados - a Orange Cyberdefense identificou pelo menos dois clusters de distribuição distintos, incluindo "Cheesy Bunny", que distribui o loader via iscas de vídeos falsos (episódios de séries) e PDFs falsos. ## Como Funciona **Vetor de entrega (via ClearFake ou ClickFix):** 1. Usuário visita site WordPress comprometido (parte do framework ClearFake) 2. JavaScript injetado exibe uma página falsa: CAPTCHA falso, alerta de atualização Chrome, ou instrução ClickFix 3. Usuário é induzido a executar comando PowerShell copiado do clipboard (ClickFix) ou clica em link de download **Cadeia de execução multi-estágio:** 1. **Arquivo LNK** (shortcut): lança script PowerShell embutido que invoca mshta.exe 2. **MSHTA executa**: script HTA concatenado ao binário Windows legítimo (ex: Dialer.exe) 3. **HTA → JavaScript**: código JavaScript desobfusca o próximo estágio usando subtração de constante (char - 116) 4. **JavaScript → PowerShell**: ActiveXObject executa PowerShell com WSScript.Shell.Run 5. **PowerShell decriptador**: descriptografa payload AES embutido 6. **PowerShell loader**: faz download do payload final via curl de CDN (Bunny CDN, Cloudflare) 7. **Payload**: [[lumma-stealer|Lumma C2]], [[cryptbot|CryptBot]], XWorm, Remcos RAT ou ACR Stealer **Obfuscação em camadas:** - Variáveis com nomes aleatórios em cada geração - Variable reflection, aliases, binary-to-text conversion - Wildcard method resolution e base64 de strings hexadecimais - AES encryption do payload embutido - XOR obfuscation com chave numérica - Fileless execution (payload em memória, sem arquivo em disco) ## Attack Flow ```mermaid graph TB A["Site Comprometido<br/>WordPress com<br/>ClearFake JS injetado"] --> B["Fake CAPTCHA<br/>ou ClickFix<br/>Comando no clipboard"] B --> C["LNK File<br/>PowerShell embutido<br/>invoca mshta.exe"] C --> D["Binario legit<br/>Dialer.exe padded<br/>com HTA malicioso"] D --> E["HTA desobfusca JS<br/>ActiveXObject<br/>executa PowerShell"] E --> F["AES Decrypt<br/>Payload embutido<br/>decodificado"] F --> G["Download via CDN<br/>Bunny.net Cloudflare<br/>payload final"] G --> H["Infostealer<br/>Lumma CryptBot<br/>ou RAT instalado"] ``` **Legenda:** [[lumma-stealer]] · [[cryptbot]] · [[t1218-005-mshta|T1218.005]] · [[t1027-obfuscated-files|T1027]] · [[t1105-ingress-tool-transfer|T1105]] ## Timeline ```mermaid timeline title Emmenhtal Loader - Linha do Tempo 2024-02 : Primeiras atividades : Iscas de video falso : Franca como alvo inicial 2024-05 : ClearFake adota ClickFix : Emmenhtal integrado : Alcance global expandido 2024-07 : Mandiant identifica : Nome PEAKLIGHT dado : Lumma C2 como payload 2024-08 : Orange Cyberdefense : Relatorio completo : Emmenhtal nomeado 2024-12 : Escala massiva : Guardio Labs relata : 1M+ impressoes/dia 2025 : ClearFake evolui : Web3 EtherHiding : BSC smart contracts 2025 : 9300+ sites infectados : Sekoia relata : Vidar Stealer adicionado ``` ## TTPs MITRE ATT&CK | Técnica | ID | Descrição | |---------|-----|-----------| | Mshta | [[t1218-005-mshta\|T1218.005]] | Uso de mshta.exe como LOLBIN para executar HTA malicioso | | PowerShell | [[t1059-001-powershell\|T1059.001]] | Cadeia de PowerShell com obfuscação multi-camada para loader | | Obfuscated Files | [[t1027-obfuscated-files\|T1027]] | AES, XOR, base64, variable reflection, fileless execution | | Ingress Tool Transfer | [[t1105-ingress-tool-transfer\|T1105]] | Download do payload final via CDN (Bunny.net, Cloudflare) | | Spearphishing Link | [[t1566-002-spearphishing-link\|T1566.002]] | Links para sites ClearFake comprometidos via email ou redes sociais | | Malicious Link | [[t1204-001-malicious-link\|T1204.001]] | Usuário clica em link de site comprometido para iniciar infecção | | Deobfuscate/Decode Files | [[t1140-deobfuscate-decode-files\|T1140]] | Cadeia de decodificação progressiva: HTA → JS → PS → AES → payload | ## Relevância para o Brasil e LATAM > [!latam] WordPress Brasileiro e Infostealers no Ecossistema Nacional > O Brasil tem um dos maiores parques de **WordPress** da LATAM — muitos sem atualizações de segurança. Domínios `.com.br` infectados com **ClearFake** foram identificados em 2024-2025. Iscas em português — episódios de séries brasileiras, "atualizações de segurança" em PT-BR — foram usadas para distribuir o Emmenhtal com **Lumma Stealer** como payload final. O Emmenhtal e o ecossistema ClearFake/ClickFix têm impacto crescente no Brasil: **WordPress e sites brasileiros:** - O Brasil tem um dos maiores parques de sites WordPress da América Latina - muitos sem atualizações de segurança regulares - Sites WordPress comprometidos no Brasil podem ser incorporados ao framework ClearFake para infectar visitantes locais com Emmenhtal - Domínios `.com.br` infectados com ClearFake foram identificados em análises de infraestrutura de 2024-2025 **Infostealers no ecossistema brasileiro:** - O [[lumma-stealer|Lumma Stealer]], principal payload do Emmenhtal, tem ampla documentação de uso contra usuários brasileiros - Credenciais bancárias, dados de [[financial|sistemas financeiros]] e acesso a plataformas cripto brasileiras são alvos prioritários dos infostealers distribuídos - O [[financial|setor financeiro]] brasileiro e empresas de [[technology|tecnologia]] com usuários Windows são os alvos de maior risco **Distribuição localizada:** - Iscas em português - episódios de séries brasileiras, "atualizações de segurança" em PT-BR - foram identificadas como vetores do Emmenhtal no Brasil - A [[lgpd|LGPD]] exige notificação quando infostealers comprometem dados pessoais de brasileiros ## Detecção e Defesa **Indicadores de comprometimento:** > [!ioc]- IOCs - Emmenhtal Loader (TLP:GREEN) > **Comportamento:** > mshta.exe lançado com URL remota ou com argumento de arquivo que não é .hta puro > PowerShell iniciado como processo filho de mshta.exe com parâmetros -enc ou -c base64 > curl.exe ou Invoke-WebRequest baixando .bmp, .mp3, .mp4 como "payloads" > > **Artefatos no host:** > Arquivo LNK em %APPDATA% ou %TEMP% com script embutido > Binário Windows legítimo (Dialer.exe, BthUdTask.exe) com tamanho aumentado > WebDAV mount ponto incomum em explorer.exe > > **Fonte:** Orange Cyberdefense - Emmenhtal Report (2024) · Mandiant PEAKLIGHT · Sekoia ClearFake **Mitigações recomendadas:** - Implementar [[m1042-disable-or-remove-feature-or-program|M1042]]: restringir execução de mshta.exe via regra de AppLocker ou GPO - Usar [[m1026-privileged-account-management|M1026]] com PowerShell Constrained Language Mode para usuários não-administradores - Monitorar via [[ds0009-process-creation|DS0009]] processos filhos de mshta.exe e powershell.exe com parâmetros suspeitos - Aplicar [[m1021-restrict-web-based-content|M1021]] com categorização de sites para bloquear WordPress comprometidos - Usar [[m1049-antivirus|M1049]] com capacidade AMSI bypass detection para detectar carregamento de payloads em memória ## Referências - [1](https://www.orangecyberdefense.com/dk/blog/cert-news/emmenhtal-a-little-known-loader-distributing-commodity-infostealers-worldwide) Orange Cyberdefense - Emmenhtal: Little-Known Loader Analysis (2024) - [2](https://www.mandiant.com/resources/blog/peaklight-decrypting-stealthy-memory-downloader) Mandiant - PEAKLIGHT: Decrypting Stealthy Memory Downloader (2024) - [3](https://blog.sekoia.io/clearfakes-new-widespread-variant-increased-web3-exploitation-for-malware-delivery/) Sekoia - ClearFake + Emmenhtal Analysis (2025) - [4](https://thehackernews.com/2025/03/clearfake-infects-9300-sites-uses-fake.html) The Hacker News - ClearFake Infects 9300 Sites (2025) - [5](https://malpedia.caad.fkie.fraunhofer.de/details/win.emmenhtal) Malpedia - Emmenhtal Entry - [6](https://www.bleepingcomputer.com/news/security/fake-captcha-campaign-harvests-passwords-using-the-windows-clipboard/) BleepingComputer - Fake CAPTCHA ClearFake Campaign (2024)