Um threat actor russo com motivação financeira, identificado como UAT-11795, está usando software trojanizado para roubar credenciais e criptomoedas por meio da implantação de um novo backdoor chamado Starland RAT.
Os ataques ocorrem pelo menos desde junho de 2025 e têm como principal alvo usuários nos Estados Unidos, embora também tenham sido observadas vítimas na Alemanha, Romênia e Venezuela.
Segundo pesquisadores da Cisco Talos, o threat actor distribui o payload por meio de instaladores trojanizados de programas legítimos, como MobaXterm, WebEx, Zoom, DBeaver e FaceIT.
Embora os pesquisadores não tenham conseguido confirmar o vetor inicial da infecção, eles avaliam que os arquivos maliciosos provavelmente são disseminados pela técnica ClickFix.
Em uma análise publicada hoje, a Cisco Talos afirma que o ataque começa com um arquivo HTA que baixa um instalador NSIS trojanizado contendo um loader em Python disfarçado de arquivo de texto, com o nome LICENSE.txt.
O loader modifica o Registro do Windows para estabelecer persistência e, em seguida, descriptografa e carrega o trojan de acesso remoto Starland RAT.
Ao ser executado, o Starland verifica se está em um ambiente de sandbox, cria tarefas agendadas e itens na pasta Inicializar para manter a persistência e tenta elevar seus privilégios.
O malware procura os seguintes tipos de dados no sistema comprometido:
Dados de navegadores e ativos de carteiras de criptomoedas, incluindo mais de 40 carteiras de desktop e de extensões de navegador
Detalhes do sistema, como HWID, RAM, processador, sistema operacional, nome do computador, região, endereço IP público e produtos antivírus instalados
Informações do Active Directory, incluindo estrutura do domínio, controladores de domínio e os privilégios de domínio da vítima
O Starland RAT também pode capturar screenshots da área de trabalho da vítima, executar comandos shell, injetar shellcode de 32 ou 64 bits e baixar payloads adicionais, como EXEs, MSIs, DLLs e ZIPs.
Nos ataques observados, a cadeia de shellcode de 64 bits entrega o malware infostealer CastleStealer, enquanto a cadeia de 32 bits distribui o trojan de acesso remoto Remcos RAT.
O CastleStealer mira credenciais de navegadores, informações de carteiras de criptomoedas, sessões do Discord e do Telegram, credenciais do Steam e arquivos do sistema de arquivos.
Já o Remcos RAT oferece recursos como keylogging, captura de webcam e tela, gravação de áudio, monitoramento da área de transferência, gerenciamento de arquivos e execução remota de comandos.
A Cisco Talos destaca que a comunicação de comando e controle, ou C2, do malware conta com um mecanismo de redundância caso o endereço codificado falhe.
Nesse cenário, o malware consulta um contrato inteligente na Polygon com um domínio de reserva criptografado com XOR.
A Talos também descobriu que o UAT-11795 usa um framework de C2 em PowerShell até então não documentado, chamado WLDR.
Ele utiliza comunicação e sinalização de beacons criptografadas com PBKDF2-SHA256, opera inteiramente na memória e vincula a entrega do payload ao identificador de hardware de cada vítima.
Para se defender contra ataques do UAT-11795, organizações devem usar os indicadores de comprometimento, ou IoCs, presentes no relatório da Cisco Talos.
Os usuários devem evitar executar comandos encontrados na internet quando não entenderem exatamente sua função e devem baixar software apenas de portais oficiais e verificados dos fornecedores.
Publicidade
Nossa audiência é formada por analistas, pentesters, decisores e entusiastas que consomem nossas notícias todo dia pelo Site, Newsletter e Instagram. Fale com quem realmente importa para o seu negócio. Anuncie aqui. Saiba mais...