Quasar RAT se aproveita do carregamento lateral de DLL para passar despercebido pelo radar
23 de Outubro de 2023

O trojan de acesso remoto de código aberto conhecido como Quasar RAT tem sido observado utilizando a técnica de side-loading DLL para voar sob o radar e sifonar discretamente dados de hosts Windows comprometidos.

"Essa técnica se aproveita da confiança inerente que esses arquivos comandam no ambiente Windows," disseram os pesquisadores da Uptycs Tejaswini Sandapolla e Karthickkumar Kathiresan em um relatório publicado na semana passada, detalhando a dependência do malware no ctfmon.exe e calc.exe como parte da cadeia de ataque.

Também conhecido pelos nomes CinaRAT ou Yggdrasil, Quasar RAT é uma ferramenta de administração remota baseada em C# capaz de coletar informações do sistema, uma lista de aplicações em execução, arquivos, teclas digitadas, screenshots e executar comandos shell arbitrários.

O side-loading do DLL é uma técnica popular adotada por muitos agentes de ameaças para executar seus próprios payloads, instalando um arquivo DLL falsificado com um nome que um executável benigno é conhecido por estar procurando.

"Adversários provavelmente usam side-loading como um meio de mascarar as ações que eles realizam sob um processo de sistema ou software legítimo, confiável e potencialmente elevado," observa o MITRE em sua explicação do método de ataque.

O ponto de partida do ataque documentado pela Uptycs é um arquivo de imagem ISO que contém três arquivos: Um binário legítimo chamado ctfmon.exe que é renomeado como eBill-997358806.exe, um arquivo MsCtfMonitor.dll que é renomeado como monitor.ini, e um malicioso MsCtfMonitor.dll.
"Quando o arquivo binário 'eBill-997358806.exe' é executado, ele inicia o carregamento de um arquivo intitulado 'MsCtfMonitor.dll' (nome mascarado) via técnica de side-loading de DLL, dentro do qual um código malicioso é escondido," disseram os pesquisadores.

O código oculto é outro executável "FileDownloader.exe" que é injetado em Regasm.exe, a ferramenta de registro de montagem do Windows, para iniciar a próxima etapa, um autêntico arquivo calc.exe que carrega o rougue Secure32.dll novamente através de side-loading de DLL e lança o payload final do Quasar RAT.

O trojan, por sua vez, estabelece conexões com um servidor remoto para enviar informações do sistema e até mesmo estabelece um proxy reverso para acesso remoto ao endpoint.

A identidade do ator de ameaça e o vetor de acesso inicial exato usado para realizar o ataque é incerto, mas é provável que seja disseminado por meio de emails de phishing, tornando imperativo que os usuários estejam em alerta para emails, links ou anexos duvidosos.

Publicidade

Já viu o Cyberpunk Guide?

Imagine voltar ao tempo dos e-zines e poder desfrutar de uma boa revista contendo as últimas novidades, mas na pegada hacking old school.
Acesse gratuitamente o Cyberpunk Guide e fique por dentro dos mais modernos dispositivos usados pelos hackers. Saiba mais...