Membros de gangs de ransomware estão cada vez mais utilizando um novo malware chamado Skitnet ("Bossnet") para realizar atividades furtivas de pós-exploitação em redes comprometidas.
O malware tem sido oferecido para venda em fóruns clandestinos como o RAMP desde abril de 2024, mas de acordo com pesquisadores da Prodaft, começou a ganhar tração significativa entre as gangs de ransomware desde o início de 2025.
A Prodaft informou que observou várias operações de ransomware implementando Skitnet em ataques reais, incluindo BlackBasta em ataques de phishing do Microsoft Teams contra empresas, além do Cactus.
A infecção pelo Skitnet começa com um loader baseado em Rust que é soltado e executado no sistema alvo, o qual descriptografa um binário Nim criptografado por ChaCha20 e o carrega na memória.
O payload Nim estabelece um reverse shell baseado em DNS para comunicação com o servidor de comando e controle (C2), iniciando a sessão com consultas DNS randomizadas.
O malware inicia três threads: uma para enviar solicitações DNS de keep-alive, uma para monitorar e exfiltrar a saída do shell e uma para aguardar e descriptografar comandos das respostas DNS.
Comunicação e comandos a serem executados são enviados via HTTP ou DNS, com base nos comandos emitidos pelo painel de controle C2 do Skitnet.
O painel C2 permite ao operador ver o IP do alvo, localização, status e emitir comandos para execução.
Os comandos suportados são:
- startup - Estabelece persistência baixando três arquivos (incluindo uma DLL maliciosa) e criando um atalho para um executável legítimo da Asus (ISP.exe) na pasta de Inicialização.
Isso aciona um sequestro de DLL que executa um script PowerShell (pas.ps1) para comunicação contínua com o C2.
- Screen – Captura uma captura de tela da área de trabalho da vítima usando PowerShell, faz o upload para o Imgur e envia a URL da imagem de volta para o servidor C2.
- Anydesk – Baixa e instala silenciosamente o AnyDesk, uma ferramenta legítima de acesso remoto, ocultando a janela e o ícone da bandeja de notificação.
- Rutserv – Baixa e instala silenciosamente o RUT-Serv, outra ferramenta legítima de acesso remoto.
- Shell – Inicia um loop de comando PowerShell.
Envia uma mensagem inicial "Shell started.." e, em seguida, consulta (?) o servidor a cada 5 segundos por novos comandos, os quais são executados usando Invoke-Expression, e envia os resultados de volta.
- Av – Enumera softwares antivírus e de segurança instalados consultando o WMI (SELECT * FROM AntiVirusProduct in the root\SecurityCenter2 namespace).
Envia os resultados para o servidor C2.
Além do conjunto de comandos principal, os operadores podem também alavancar uma capacidade separada envolvendo um loader .NET, que lhes permite executar scripts PowerShell na memória, para ainda mais customização do ataque.
Embora grupos de ransomware frequentemente usem ferramentas customizadas adaptadas para operações específicas e com baixa detecção por antivírus, estas são caras para desenvolver e exigem desenvolvedores habilidosos que nem sempre estão disponíveis, especialmente em grupos de menor escalão.
Usar um malware pronto como o Skitnet é mais barato, mais rápido de implementar e pode tornar a atribuição mais difícil, já que muitos atores de ameaças o utilizam.
No espaço do ransomware, há espaço para ambos os enfoques, até mesmo uma mistura dos dois, mas as capacidades do Skitnet o tornam particularmente atraente para hackers.
A Prodaft publicou indicadores de comprometimento (IoCs) associados ao Skitnet em seu repositório no GitHub.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...