Uma nova plataforma de malware como serviço (MaaS), chamada Atroposia, está oferecendo a cibercriminosos um trojan de acesso remoto (RAT) com funcionalidades avançadas, incluindo acesso persistente, técnicas de evasão, roubo de dados e varredura local de vulnerabilidades.
O malware é disponibilizado mediante assinatura mensal de US$ 200, que libera recursos como desktop remoto oculto, controle do sistema de arquivos, exfiltração de dados, roubo do clipboard, captura de credenciais, furto de carteiras de criptomoedas e sequestro de DNS (DNS hijacking).
Descoberto por pesquisadores da empresa de segurança de dados Varonis, o Atroposia é o mais recente exemplo de toolkit “plug and play”, fácil de usar e acessível, na mesma linha de outras ferramentas como SpamGPT e MatrixPDF.
Trata-se de um RAT modular que se comunica com sua infraestrutura de comando e controle (C2) por meio de canais criptografados e consegue contornar a proteção do User Account Control (UAC) para escalar privilégios em sistemas Windows.
Segundo os pesquisadores, o malware mantém acesso persistente e furtivo aos sistemas infectados.
Entre suas principais funcionalidades estão:
- Módulo HRDP Connect, que cria uma sessão de desktop oculta em segundo plano, permitindo ao invasor abrir aplicativos, visualizar documentos e e-mails, além de interagir com a sessão do usuário sem qualquer indicação visível.
A Varonis alerta que ferramentas tradicionais de monitoramento de acesso remoto podem não detectar essa atividade.
- Gerenciador de arquivos no estilo Explorer, que permite navegação remota, cópia, exclusão e execução de arquivos.
Além disso, um componente “grabber” busca arquivos específicos filtrando por extensão ou palavra-chave, compacta os dados em arquivos ZIP protegidos por senha e exfiltra os arquivos utilizando técnicas que operam apenas na memória para reduzir vestígios.
- Módulo Stealer, voltado a salvar logins, carteiras de criptomoedas e arquivos de chats.
Um gerenciador do clipboard captura em tempo real tudo o que é copiado — como senhas, chaves de API e endereços de carteira — e mantém um histórico acessível ao atacante.
- Módulo de sequestro de DNS em nível de host, que mapeia domínios para IPs controlados pelos invasores, redirecionando silenciosamente a vítima para servidores maliciosos.
Isso possibilita ataques de phishing, man-in-the-middle (MITM), falsas atualizações, injeção de anúncios ou malware, além da exfiltração via DNS.
- Scanner integrado de vulnerabilidades locais, que identifica patches ausentes, configurações inseguras e software vulnerável, gerando uma pontuação para que os atacantes priorizem exploits.
Esse recurso evidencia o fluxo modular e baseado em plugins do RAT.
Os pesquisadores destacam que essa verificação é especialmente perigosa em ambientes corporativos, já que o malware pode identificar clientes VPN desatualizados ou falhas de escalonamento de privilégio não corrigidas, facilitando a movimentação lateral dos invasores.
Segundo o relatório da Varonis, o módulo também pode localizar sistemas vulneráveis nas proximidades, ampliando potencialmente o alcance do ataque.
O surgimento do Atroposia amplia ainda mais as opções de MaaS disponíveis para cibercriminosos, reduzindo as barreiras técnicas para a atuação e permitindo que agentes com pouco conhecimento conduzam campanhas eficazes.
Para se proteger, especialistas recomendam baixar softwares somente de sites oficiais e fontes confiáveis, evitar programas piratas e torrents, ignorar resultados de busca patrocinados e nunca executar comandos encontrados na internet sem compreender sua função.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...