Um novo remote access trojan (RAT) chamado 'ResolverRAT' está sendo usado contra organizações em todo o mundo, com o malware sendo utilizado em ataques recentes visando os setores de saúde e farmacêutico.
ResolverRAT é distribuído através de e-mails de phishing que alegam ser violações legais ou de direitos autorais adaptadas aos idiomas que correspondem ao país do alvo.
Os e-mails contêm um link para baixar um executável legítimo ('hpreader.exe'), que é utilizado para injetar o ResolverRAT na memória usando reflective DLL loading.
O malware anteriormente não documentado foi descoberto pela Morphisec, que observou que a mesma infraestrutura de phishing foi documentada em relatórios recentes da Check Point e da Cisco Talos.
No entanto, esses relatórios destacaram a distribuição dos stealers Rhadamanthys e Lumma, falhando em capturar o payload distinto do ResolverRAT.
ResolverRAT é uma ameaça furtiva que opera inteiramente na memória, enquanto também abusa dos eventos .NET 'ResourceResolve' para carregar montagens maliciosas sem realizar chamadas de API que poderiam ser marcadas como suspeitas.
"Este sequestro de resolvedor de recursos representa a evolução do malware em sua melhor forma – utilizando um mecanismo .NET ignorado para operar inteiramente dentro da memória gerenciada, contornando o monitoramento de segurança tradicional focado na API Win32 e em operações do sistema de arquivos," descreve a Morphisec.
Os pesquisadores relatam que o ResolverRAT utiliza uma máquina de estado complexa para ofuscar o fluxo de controle e tornar a análise estática extremamente difícil, detectando ferramentas de sandbox e análise por meio da impressão digital de solicitações de recursos.
Mesmo se executado na presença de ferramentas de depuração, seu uso de código/operações enganosas e redundantes é projetado para complicar a análise.
O malware assegura persistência adicionando chaves XOR-ofuscadas em até 20 localizações no Registro do Windows.
Ao mesmo tempo, também se adiciona a locais do sistema de arquivos como 'Startup', 'Program Files' e 'LocalAppData'.
ResolverRAT tenta se conectar em callbacks programados em intervalos aleatórios para evitar detecção baseada em padrões irregulares de sinalização.
Cada comando enviado pelos operadores é tratado em uma thread dedicada, permitindo a execução de tarefas em paralelo, enquanto garante que comandos com falha não travem o malware.
Embora a Morphisec não entre em detalhes sobre os comandos que o ResolverRAT suporta, menciona capacidades de exfiltração de dados com um mecanismo de fragmentação para grandes transferências de dados.
Especificamente, arquivos maiores que 1MB são divididos em pedaços de 16KB, o que ajuda a evitar detecção ao misturar o tráfego malicioso com padrões normais.
Antes de enviar cada pedaço, o ResolverRAT verifica se o socket está pronto para escrever, prevenindo erros de redes congestionadas ou instáveis.
O mecanismo apresenta um tratamento de erros ótimo e recuperação de dados, retomando transferências do último pedaço bem-sucedido.
A Morphisec observou ataques de phishing em italiano, tcheco, hindi, turco, português e indonésio, então o malware tem um escopo operacional global que pode ser expandido para incluir mais países.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...