A Microsoft descobriu um novo Remote Access Trojan (RAT) que emprega técnicas sofisticadas para evitar detecção, manter persistência e extrair dados sensíveis.
Embora o malware (batizado de StilachiRAT) ainda não tenha alcançado uma distribuição ampla, a Microsoft diz que decidiu compartilhar publicamente indicadores de comprometimento e orientações de mitigação para ajudar os defensores de redes a detectar essa ameaça e reduzir seu impacto.
Devido aos casos limitados de implantação do StilachiRAT no ambiente virtual, a Microsoft ainda não atribuiu este malware a um ator de ameaças específico ou o associou a uma geolocalização particular.
"Em novembro de 2024, pesquisadores da Resposta a Incidentes da Microsoft descobriram um RAT inovador que nomeamos StilachiRAT, demonstrando técnicas sofisticadas para evadir detecção, persistir no ambiente-alvo e exfiltrar dados sensíveis", disse a Microsoft.
"A análise do módulo WWStartupCtrl64.dll do StilachiRAT, que contém as capacidades do RAT, revelou o uso de vários métodos para roubar informações do sistema-alvo, como credenciais armazenadas no navegador, informações de carteira digital, dados armazenados na área de transferência, bem como informações do sistema.
Entre os recursos deste novo RAT, a Microsoft destacou capacidades de reconhecimento como coletar dados do sistema, incluindo identificadores de hardware, presença de câmera, sessões ativas de Remote Desktop Protocol (RDP) e executar aplicativos baseados em GUI para perfilar sistemas-alvo.
Depois de ser implantado em sistemas comprometidos, os atacantes podem usar o StilachiRAT para sifonar dados de carteira digital, escaneando as informações de configuração de 20 extensões de carteira de criptomoedas, incluindo Coinbase Wallet, Phantom, Trust Wallet, Metamask, OKX Wallet, Bitget Wallet, entre outras.
O malware também extrai credenciais salvas no arquivo de estado local do Google Chrome com a ajuda das Windows APIs e monitora a atividade da área de transferência para informações sensíveis como senhas e chaves de criptomoedas, ao passo que rastreia janelas e aplicações ativas.
Uma vez lançado como um processo autônomo ou um serviço do Windows, o RAT ganha e mantém persistência através do Windows service control manager (SCM) e garante que seja reinstalado automaticamente usando threads watchdog que monitoram os binários do malware e os recriam se eles não estiverem mais ativos.
O StilachiRAT também pode monitorar sessões RDP ativas, capturando informações de janelas em primeiro plano e clonando tokens de segurança para se passar por usuários logados, o que pode permitir que os atacantes se movam lateralmente dentro das redes de uma vítima depois de implantar o malware RAT em servidores RDP que frequentemente hospedam sessões administrativas.
"O malware obtém a sessão atual e ativamente lança janelas em primeiro plano, bem como enumera todas as outras sessões RDP", disse a Microsoft.
"Para cada sessão identificada, ele acessará o shell do Windows Explorer e duplicará seus privilégios ou token de segurança.
O malware então ganha capacidades para lançar aplicativos com esses privilégios recém-obtidos."
As capacidades do RAT também incluem extensos recursos de evasão de detecção e anti-forenses, como a capacidade de limpar logs de eventos e verificar sinais de que está em execução em uma sandbox para bloquear tentativas de análise de malware.
Mesmo se enganado para executar em uma sandbox, as chamadas do StilachiRAT para Windows API são codificadas como "checksums que são resolvidas dinamicamente em tempo de execução" e ainda mais ofuscadas para retardar a análise.
Por último, mas não menos importante, a Microsoft diz que o StilachiRAT permite execução de comandos e potencial proxying semelhante ao SOCKS usando comandos de um servidor de comando e controle (C2) para os dispositivos infectados, o que pode permitir que os atores de ameaças reiniciem o sistema comprometido, limpem logs, roubem credenciais, executem aplicações e manipulem janelas do sistema.
Outros comandos são projetados para "suspender o sistema, modificar valores do registro do Windows e enumerar janelas abertas."
Para reduzir a superfície de ataque que esse malware pode usar para comprometer um sistema-alvo, a Microsoft aconselha o download de software apenas de sites oficiais e o uso de software de segurança capaz de bloquear domínios maliciosos e anexos de email.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...