Criminosos têm atraído usuários desavisados para executar versões modificadas de utilitários de jogos infectados com trojans, distribuídos via navegadores e plataformas de chat, com o objetivo de instalar um trojan de acesso remoto (RAT).
Segundo a equipe de Microsoft Threat Intelligence, “um downloader malicioso implantou uma runtime portátil de Java e executou um arquivo Java malicioso (JAR) chamado jd-gui.jar”.
Esse downloader utilizava PowerShell e binários legítimos do sistema, conhecidos como living-off-the-land binaries (LOLBins), como o cmstp.exe, para operar de forma discreta.
Além disso, a cadeia de ataque inclui estratégias para evitar a detecção, como a exclusão do downloader inicial e a configuração de exclusões no Microsoft Defender para os componentes do RAT.
A persistência no sistema é garantida por meio de uma tarefa agendada e de um script de inicialização do Windows, chamado “world.vbs”, que acionam a instalação do payload final na máquina infectada.
De acordo com a Microsoft, esse malware é multifuncional, atuando como loader, runner, downloader e RAT.
Após ativação, ele se conecta a um servidor externo, no endereço 79.110.49.15, para comunicações de comando e controle (C2), permitindo a exfiltração de dados e o download de payloads adicionais.
Para se proteger, especialistas recomendam auditar as exclusões configuradas no Microsoft Defender e as tarefas agendadas, remover tarefas e scripts maliciosos, isolar os dispositivos comprometidos e redefinir as credenciais dos usuários ativos nesses equipamentos.
A divulgação dessa ameaça acompanha o alerta da BlackFog sobre uma nova família de RAT para Windows chamada Steaelite, anunciada em fóruns criminosos em novembro de 2025 como o “melhor Windows RAT”, com capacidades “fully undetectable” (FUD).
A ferramenta funciona tanto no Windows 10 quanto no 11.
Diferentemente dos RATs comuns vendidos a criminosos, o Steaelite combina roubo de dados e ransomware em um único painel web, com um módulo de ransomware para Android atualmente em desenvolvimento.
O painel inclui várias ferramentas, como keylogger, chat entre operador e vítima, busca de arquivos, propagação via USB, modificação do papel de parede, bypass de UAC e funcionalidade de clipper.
Entre as funcionalidades adicionais, destacam-se a remoção de malwares concorrentes, a desativação ou configuração de exclusões no Microsoft Defender, além da instalação de métodos de persistência.
Entre as principais capacidades do Steaelite estão execução remota de código, gerenciamento de arquivos, streaming ao vivo, acesso à webcam e microfone, monitoramento de processos, vigilância da área de transferência, roubo de senhas, enumeração de programas instalados, rastreamento de localização, execução arbitrária de arquivos, abertura de URLs, ataques DDoS e compilação de payloads em VB.NET.
“A ferramenta permite que operadores controlem remotamente máquinas Windows infectadas via navegador, abrangendo execução remota de código, roubo de credenciais, vigilância ao vivo, exfiltração de arquivos e implantação de ransomware a partir de um único dashboard”, explica a pesquisadora de segurança Wendy McCague.
“Um único ator pode navegar por arquivos, exfiltrar documentos, coletar credenciais e distribuir ransomware pelo mesmo painel, viabilizando uma extorsão dupla completamente integrada.”
Nas últimas semanas, caçadores de ameaças também identificaram duas novas famílias de RATs, nomeadas DesckVB RAT e KazakRAT, que oferecem controle remoto completo das máquinas infectadas, incluindo a ativação seletiva de funcionalidades após a invasão.
Segundo o Ctrl Alt Intel, o KazakRAT possivelmente é utilizado por um grupo alinhado a um estado nacional, direcionado a alvos do Cazaquistão e do Afeganistão em uma campanha persistente desde pelo menos agosto de 2022.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...