Pesquisadores de cibersegurança lançaram luz sobre um novo trojan de acesso remoto chamado NonEuclid, que permite a atores mal-intencionados controlarem remotamente sistemas Windows comprometidos.
"O NonEuclid remote access trojan (RAT), desenvolvido em C#, é um malware altamente sofisticado que oferece acesso remoto não autorizado com técnicas avançadas de evasão," disse Cyfirma em uma análise técnica publicada na semana passada.
Ele emprega diversos mecanismos, incluindo bypass de antivirus, escalada de privilégios, anti-detecção e criptografia ransomware visando arquivos críticos.
O NonEuclid vem sendo anunciado em fóruns underground desde, pelo menos, o final de novembro de 2024, com tutoriais e discussões sobre o malware encontrados em plataformas populares como Discord e YouTube.
Isso aponta para um esforço concertado para distribuir o malware como uma solução de crimeware.
Em sua essência, o RAT inicia com uma fase de inicialização para uma aplicação cliente, após a qual realiza uma série de checagens para evadir detecção antes de estabelecer um socket TCP para comunicação com um IP e porta especificados.
Também configura exclusões no Microsoft Defender Antivirus para prevenir que os artefatos sejam marcados pela ferramenta de segurança, e monitora processos como "taskmgr.exe," "processhacker.exe," e "procexp.exe," que são frequentemente usados para análise e gerenciamento de processos.
"Ele usa chamadas da API do Windows (CreateToolhelp32Snapshot, Process32First, Process32Next) para enumerar processos e verificar se seus nomes executáveis correspondem aos alvos especificados," disse Cyfirma.
Se uma correspondência é encontrada, dependendo da configuração AntiProcessMode, ele ou mata o processo ou dispara uma saída para a aplicação cliente.
Algumas das técnicas anti-análise adotadas pelo malware incluem checagens para determinar se ele está rodando em um ambiente virtual ou sandboxed, e se for o caso, termina imediatamente o programa.
Além disso, incorpora recursos para bypass da Windows Antimalware Scan Interface (AMSI).
Enquanto a persistência é alcançada por meio de tarefas agendadas e alterações no Registro do Windows, o NonEuclid também tenta elevar privilégios ao contornar as proteções do Controle de Conta de Usuário (UAC) e executar comandos.
Um recurso relativamente incomum é sua capacidade de criptografar arquivos que correspondam a certos tipos de extensão (por exemplo, .CSV, .TXT e .PHP) e renomeá-los com a extensão ".NonEuclid", efetivamente transformando-se em ransomware.
"O NonEuclid RAT exemplifica a crescente sofisticação do malware moderno, combinando mecanismos avançados de sigilo, recursos anti-detecção e capacidades de ransomware," disse Cyfirma.
Sua ampla promoção através de fóruns underground, servidores Discord e plataformas de tutoriais demonstra seu apelo aos cibercriminosos e destaca os desafios no combate a tais ameaças.
A integração de recursos como escalada de privilégios, bypass do AMSI e bloqueio de processos mostra a adaptabilidade do malware em evadir medidas de segurança.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...