Um novo malware chamado RoadK1ll permite que agentes maliciosos se movam silenciosamente de um host comprometido para outros sistemas na mesma rede.
Esse implant, desenvolvido em Node.js, utiliza um protocolo WebSocket personalizado para manter o acesso contínuo do invasor e viabilizar operações adicionais.
A descoberta do RoadK1ll foi realizada pela empresa de Managed Detection and Response (MDR) Blackpoint durante uma investigação de resposta a incidentes.
Os pesquisadores classificam o malware como um implant leve de reverse tunneling que se mistura ao tráfego legítimo, transformando a máquina infectada em um ponto de retransmissão para o atacante.
Segundo a Blackpoint, “a função principal é converter uma única máquina comprometida em um ponto de retransmissão controlável, um amplificador de acesso, por meio do qual o operador pode pivotar para sistemas internos, serviços e segmentos da rede que, de outra forma, seriam inacessíveis externamente”.
Diferente dos backdoors tradicionais, o RoadK1ll não depende de um listener inbound no host infectado.
Ele estabelece uma conexão WebSocket outbound com uma infraestrutura controlada pelo atacante, criando um túnel que permite o redirecionamento de tráfego TCP sob demanda.
Essa técnica ajuda o atacante a permanecer despercebido por mais tempo, ao mesmo tempo em que encaminha o tráfego para sistemas internos por meio de um único túnel WebSocket.
“Com essa abordagem, o invasor pode instruir o RoadK1ll a abrir conexões para serviços internos, interfaces de gerenciamento ou outros hosts que não estejam expostos diretamente à internet”, destaca a Blackpoint.
“Como essas conexões saem da máquina comprometida, elas herdam sua confiança e posição na rede, contornando controles de perímetro.”
Além disso, o RoadK1ll suporta múltiplas conexões simultâneas pelo mesmo túnel, permitindo que o operador se comunique com diversos destinos ao mesmo tempo.
Os pesquisadores apontam que o malware responde a um conjunto restrito de comandos, entre eles:
- CONNECT: inicia uma conexão TCP para um host e porta específicos
- DATA: encaminha tráfego bruto por uma conexão ativa
- CONNECTED: confirma que uma conexão solicitada foi estabelecida com sucesso
- CLOSE: encerra uma conexão ativa
- ERROR: informa falhas ao operador
O comando CONNECT aciona a principal função do RoadK1ll, que é abrir conexões TCP de saída para alvos adjacentes, ampliando o alcance dos invasores dentro da rede comprometida.
Em caso de interrupção do canal, o malware tenta restabelecer o túnel WebSocket automaticamente por meio de um mecanismo de reconexão, mantendo o acesso persistente sem necessidade de intervenção manual que possa chamar atenção.
Por outro lado, a Blackpoint ressalta que o RoadK1ll não possui mecanismos tradicionais de persistência, como chaves no registro, tarefas agendadas ou serviços.
Ele permanece ativo apenas enquanto seu processo estiver em execução.
Ainda assim, os pesquisadores destacam que o malware “apresenta uma implementação mais moderna e feita sob medida” de comunicação oculta, tornando-o flexível, eficiente e de fácil implantação.
Essa capacidade permite que o invasor alcance sistemas internos e segmentos da rede que normalmente não seriam acessados a partir do ambiente externo.
A Blackpoint disponibilizou indicadores de comprometimento baseados no host, incluindo o hash do RoadK1ll e um endereço IP usado pelo atacante para comunicação com o implant.
Publicidade
Nossa audiência é formada por analistas, pentesters, decisores e entusiastas que consomem nossas notícias todo dia pelo Site, Newsletter e Instagram. Fale com quem realmente importa para o seu negócio. Anuncie aqui. Saiba mais...