Pesquisadores de cibersegurança identificaram uma nova campanha de malspam que usa o domínio DoubleClick, do Google, como forma de evitar detecção e, por fim, entregar um trojan de acesso remoto, ou RAT, chamado DesckVB RAT.
“Antes mesmo de a vítima alcançar uma infraestrutura controlada pelo invasor, a isca passa pelo DoubleClick, um domínio legítimo de propriedade do Google que muitas ferramentas de segurança tendem a tratar com menos suspeita”, disseram os pesquisadores da Huntress, Anna Pham e Adam Mooney, em um relatório compartilhado.
“Dali em diante, a vítima é encaminhada para um kit de malspam que se personaliza em tempo real usando o endereço de e-mail da vítima, puxando dinamicamente a marca da empresa e detalhes de localização para fazer a página parecer convincente, sem que os operadores precisem criar manualmente uma isca para cada alvo.”
O que torna esse ataque relevante é o fato de eliminar a necessidade de um kit sob medida para cada organização visada, tornando essas operações mais escaláveis e com menor custo.
O objetivo final da campanha é distribuir o DesckVB RAT, um trojan baseado em .NET que está ativo em ambiente real desde fevereiro de 2026.
O ataque começa quando um usuário desavisado abre um arquivo HTML anexado a um e-mail de phishing.
O arquivo aciona um redirecionamento no navegador por meta-refresh para uma URL de rastreamento de cliques do Google DoubleClick Campaign Manager, de onde o usuário é encaminhado para outro redirecionador, que decodifica o endereço de e-mail em Base64 e leva a vítima a uma página de destino com um botão “Baixar PDF”.
Ao clicar no botão, o servidor responde com um arquivo ZIP que inicia o restante da cadeia de infecção.
Isso é feito por meio de um loader em JavaScript, cuja principal função é recuperar e executar um RAT em .NET sem chamar atenção.
O script extrai e executa um script em PowerShell, que então busca um loader em .NET em um servidor externo.
O loader atua como etapa intermediária, verificando se não está sendo analisado, neutralizando os controles de segurança da máquina, estabelecendo persistência e, por fim, baixando e executando o payload do RAT por meio de uma técnica chamada process hollowing, que injeta o malware em processos assinados pela Microsoft.
Depois de iniciado, o trojan se comunica com um servidor de command and control, ou C2, por meio de sockets TCP brutos, realiza reconhecimento do sistema e configura exclusões no Microsoft Defender.
O trojan também aplica patches no Antimalware Scan Interface, ou AMSI, e no Event Tracing for Windows, ou ETW, logo no início, em nível de API nativa, numa tentativa de cegar a telemetria do Windows antes que a persistência seja estabelecida no host, por meio da criação de entradas no Registro Run e RunOnce, além de colocar na pasta Inicializar do usuário um loader responsável por iniciar o RAT.
O malware tem capacidade para extrair dados, executar comandos e implantar payloads adicionais, dando aos invasores controle total sobre as máquinas infectadas, ao mesmo tempo em que tenta permanecer oculto ao encerrar e reiniciar a máquina se detectar uma ferramenta de análise ou concluir que está em um ambiente sandbox.
“Isso é um forte lembrete de por que a defesa em profundidade é importante”, afirmou a Huntress.
“Configurar um Objeto de Política de Grupo, ou GPO, no Active Directory para forçar que arquivos de script, como .vbs, .hta e .js, sejam abertos no Bloco de Notas por padrão pode impedir um threat actor já na primeira etapa, evitando que payloads adicionais sejam baixados.”
“No campo da segurança de e-mail, as organizações devem considerar a implantação de registros DMARC, DKIM e SPF para reduzir a probabilidade de e-mails falsificados ou maliciosos chegarem aos usuários finais.
Além disso, uma solução de gateway de e-mail capaz de colocar anexos e links em sandbox antes da entrega adiciona outra camada relevante de proteção.”
Publicidade
Nossa audiência é formada por analistas, pentesters, decisores e entusiastas que consomem nossas notícias todo dia pelo Site, Newsletter e Instagram. Fale com quem realmente importa para o seu negócio. Anuncie aqui. Saiba mais...