Pesquisadores de cibersegurança identificaram um trojan de acesso remoto, ou RAT, baseado em Rust e até então não documentado, batizado de LabubaRAT.
O malware se disfarça como software da NVIDIA para se misturar aos ambientes-alvo.
“O LabubaRAT cria um ponto de apoio reutilizável para atividades conduzidas manualmente”, disseram os pesquisadores Sam Decker e Nevan Beal, da Blackpoint Cyber, em uma análise publicada hoje.
“Uma vez implantado, ele pode fazer o reconhecimento do host, identificar ferramentas de segurança, receber comandos do operador, mover arquivos, capturar capturas de tela e encaminhar tráfego por meio do sistema comprometido.”
O componente malicioso também oferece vários métodos de comunicação, incluindo HTTPS, WebView2 e tunelamento DNS, o que permite aos atacantes manter o acesso aos hosts comprometidos mesmo se uma das rotas for detectada e bloqueada.
Há indícios de que o LabubaRAT esteja sendo oferecido em um modelo malware-as-a-service (MaaS).
A cadeia de ataque começa com um executável chamado “nvidia-sysruntime.exe”, que se passa pelo kit de ferramentas de runtime de contêiner da NVIDIA.
Em vez de trazer as informações de command and control (C2) hardcoded, a amostra aceita uma configuração em tempo de execução por meio de argumentos de linha de comando.
Isso permite que o operador da campanha defina diversos parâmetros essenciais para estabelecer a comunicação com o servidor remoto, incluindo os detalhes do servidor “pipicka[.]xyz” e o intervalo de verificação usado pelo implant.
Como alternativa, o atacante também pode fornecer esses valores individualmente em um único argumento codificado em Base64.
“Como esses valores eram informados na inicialização, o mesmo binário compilado podia ser reutilizado com diferentes infraestruturas, organizações ou grupos de campanha, em vez de depender de um servidor hardcoded”, observaram os pesquisadores.
A configuração é então armazenada em um banco de dados SQLite local.
Em seguida, o malware executa operações de descoberta para inventariar os navegadores e produtos de segurança instalados no host, verificando especificamente a presença de Google Chrome, Mozilla Firefox, Microsoft Edge, Brave, Microsoft Defender, CrowdStrike, SentinelOne, Carbon Black, Sophos, Malwarebytes, Bitdefender, ESET, Kaspersky, McAfee, Symantec e Trend Micro.
Além disso, ele coleta o nome do host, a quantidade de RAM, o modelo da CPU e o estado do Controle de Conta de Usuário (UAC) do Windows, como forma de preparar o ambiente para a próxima etapa, já que algumas funções do RAT podem ser definidas pelas ferramentas de segurança presentes no sistema.
Depois de iniciado, o LabubaRAT oferece uma ampla gama de funções, como execução de comandos, execução de PowerShell, execução de JavaScript, captura de capturas de tela, upload e download de arquivos, manipulação de arquivos compactados e suporte a proxy SOCKS5.
“Essas capacidades deram ao operador controle suficiente para interagir com o host, mover arquivos para dentro e para fora do ambiente, rotear tráfego pelo sistema e manter o acesso sem depender de um loader separado ou de uma ferramenta de acompanhamento de escopo restrito”, afirmou a Blackpoint Cyber.
O malware faz referência ao nome “LabubaPanel”, associado à sua infraestrutura de C2, e a um favicon com tema Labubu.
“A amostra combinava configuração em tempo de execução, estado local, perfil do host, múltiplas rotas de comunicação e tarefas do operador em uma ferramenta completa de acesso remoto”, disse a Blackpoint Cyber.
“O malware oferecia ao operador uma forma prática de cadastrar hosts, entender o ambiente em torno de cada agente, executar comandos, mover arquivos, capturar capturas de tela, encaminhar tráfego e manter a inicialização automática no nível do usuário.”
“O nome LabubaPanel forneceu a pista externa mais clara, mas a descoberta mais importante é a estrutura semelhante à de um framework por trás dele: um RAT baseado em Rust, projetado para ser configurado, cadastrado e operado em múltiplas implantações.”
Publicidade
Nossa audiência é formada por analistas, pentesters, decisores e entusiastas que consomem nossas notícias todo dia pelo Site, Newsletter e Instagram. Fale com quem realmente importa para o seu negócio. Anuncie aqui. Saiba mais...