O Computer Emergency Response Team da Ucrânia (CERT-UA) alertou sobre uma nova onda de ataques cibernéticos direcionados no país, utilizando uma backdoor chamada CABINETRAT.
A atividade foi detectada em setembro de 2025 e está vinculada a um grupo de ameaças monitorado pela agência sob o código UAC-0245.
A investigação começou após a identificação de ferramentas maliciosas disfarçadas em arquivos XLL, que são add-ins do Microsoft Excel usados para expandir as funcionalidades do programa com funções customizadas.
Mais apurações revelaram que esses arquivos XLL são distribuídos dentro de arquivos ZIP compartilhados pelo aplicativo de mensagens Signal.
O conteúdo é apresentado como um suposto documento relacionado à detenção de pessoas que tentaram cruzar a fronteira ucraniana, o que serve para enganar as vítimas.
Ao ser executado, o arquivo XLL cria vários executáveis no sistema comprometido.
Entre eles, um arquivo EXE na pasta de inicialização (Startup), um arquivo XLL chamado "BasicExcelMath.xll" no diretório "%APPDATA%\Microsoft\Excel\XLSTART\", e uma imagem PNG nomeada "Office.png".
Além disso, o malware faz modificações no Windows Registry para garantir persistência, configurando a execução automática do EXE.
Logo em seguida, ele inicia o Excel ("excel.exe") em modo oculto, utilizando o parâmetro "/e" ("/embed"), com o objetivo de carregar o add-in malicioso.
A função principal do XLL é processar a imagem PNG para extrair um shellcode – que é classificado como CABINETRAT.
Tanto o payload XLL quanto o shellcode incluem várias técnicas anti-VM e anti-análise para dificultar a detecção.
Entre elas, checam se o dispositivo possui ao menos dois núcleos de processador e 3 GB de RAM, além de buscar sinais da presença de máquinas virtuais como VMware, VirtualBox, Xen, QEMU, Parallels e Hyper-V.
CABINETRAT é uma backdoor completa, desenvolvida em linguagem C, que foi projetada para coletar informações do sistema, listar programas instalados, capturar screenshots, enumerar conteúdos de diretórios, excluir arquivos ou pastas específicas, executar comandos e fazer upload/download de arquivos.
A comunicação com o servidor remoto ocorre via conexão TCP.
Esse alerta surge poucos dias depois da Fortinet FortiGuard Labs identificar ataques contra a Ucrânia que utilizam campanhas de phishing fileless, onde os invasores se passam pela Polícia Nacional da Ucrânia.
Essas campanhas entregam malwares como Amatera Stealer e PureMiner, usados para roubo de dados sensíveis e mineração de criptomoedas a partir dos sistemas afetados.
Publicidade
Mantenha seus dados longe de hackers e ameaças digitais com a NordVPN, uma das mais rápidas e seguras do mundo. Com tecnologia de criptografia avançada, você protege até 10 dispositivos e ainda conta com recursos poderosos como bloqueio de malware, monitoramento da dark web e backup criptografado. Aproveite até 70% de desconto e experimente com garantia de reembolso de 30 dias. Segurança digital nunca foi tão fácil e eficiente. Saiba mais...