O grupo de ransomware Interlock está implementando um trojan de acesso remoto (RAT) anteriormente não documentado, chamado NodeSnake, contra instituições de ensino para manter acesso persistente às redes corporativas.
Pesquisadores da QuorumCyber relatam ter visto a implantação do NodeSnake em pelo menos dois casos visando universidades no Reino Unido em janeiro e março de 2025.
As duas amostras de malware diferem significativamente, indicando desenvolvimento ativo para adicionar novos recursos e capacidades ao NodeSnake.
Como inicialmente reportado pelo site BleepingComputer, Interlock é um grupo de ransomware lançado em setembro de 2024.
Ele já havia direcionado ataques à Texas Tech University, à empresa de diálise renal DaVita e à rede médica Kettering Health em Ohio.
O grupo de ameaças também foi visto explorando ataques 'ClickFix' que se passam por ferramentas de TI para conseguir a infecção inicial e a infiltração na rede.
Os últimos ataques do Interlock a instituições educacionais começam com e-mails de phishing contendo links ou anexos maliciosos que levam a infecções pelo RAT NodeSnake.
O malware JavaScript, que é executado com o NodeJS, estabelece persistência após a infecção usando scripts PowerShell ou CMD para escrever uma entrada de Registro enganosa chamada 'ChromeUpdater' para se passar pelo atualizador do Google Chrome.
Para evasão, o malware roda como um processo em segundo plano separado, nomes de arquivos e payloads são atribuídos nomes aleatórios, e os endereços de comando e controle (C2) são alterados com atrasos aleatorizados.
Além disso, o malware apresenta forte ofuscação de código, criptografia XOR com uma chave rotativa e sementes aleatórias, e executa manipulações do console para interromper a saída de depuração normal.
Embora o endereço IP do C2 seja codificado, a conexão é roteada através de domínios intermediados pelo Cloudflare para ofuscação.
Uma vez ativo na máquina infectada, ele coleta metadados chave sobre o usuário, processos em execução, serviços e configurações de rede e exfiltra para o C2.
O malware pode finalizar processos ativos ou carregar payloads adicionais EXE, DLL ou JavaScript no dispositivo.
A variante mais nova do NodeSnake também pode executar comandos CMD e usar módulos adicionais para alterar dinamicamente o comportamento de sondagem do C2.
Os resultados dos comandos são agrupados nos pacotes de dados exfiltrados, permitindo interação em tempo real via shell.
A existência do NodeSnake e seu desenvolvimento contínuo é uma indicação da evolução contínua do Interlock e do foco na persistência furtiva de longo prazo.
A lista completa dos indicadores de comprometimento para essa ameaça está disponível no final do relatório da QuorumCyber.
Monitorar esses indicadores poderia ajudar a bloquear os ataques de ransomware no início, antes que o Interlock prossiga para a fase de exfiltração de dados e criptografia.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...