Pesquisadores de cibersegurança identificaram um toolkit de acesso remoto de origem russa distribuído por meio de arquivos maliciosos do Windows no formato shortcut (LNK), disfarçados como pastas de chaves privadas.
O toolkit CTRL, segundo a empresa Censys, foi desenvolvido sob medida em .NET e inclui diversos executáveis para facilitar ataques como phishing de credenciais, keylogging, sequestro de sessões Remote Desktop Protocol (RDP) e tunelamento reverso via Fast Reverse Proxy (FRP).
“Os executáveis oferecem carregamento de payloads criptografados, captura de credenciais por meio de uma interface sofisticada de phishing do Windows Hello, keylogging, sequestro de sessões RDP e tunelamento reverso através do FRP”, explica o pesquisador Andrew Northern, da Censys.
A plataforma de gerenciamento da superfície de ataque afirmou ter recuperado o CTRL em um diretório aberto no IP 146.19.213.155, em fevereiro de 2023.
As cadeias de ataque que distribuem o toolkit usam um arquivo LNK malicioso chamado “Private Key #kfxm7p9q_yek.lnk”, com ícone de pasta para enganar usuários e induzi-los a dar duplo clique.
Esse clique dispara um processo em várias etapas, no qual cada fase descriptografa ou descompacta a próxima até finalmente implantar o toolkit.
O dropper em LNK é projetado para executar um comando oculto em PowerShell que apaga mecanismos de persistência existentes na pasta de Inicialização do Windows da vítima.
Além disso, o dropper decodifica um blob em Base64 e o executa diretamente na memória.
O stager testa a conectividade TCP com o servidor hui228.ru na porta 7000 e baixa payloads das etapas seguintes.
Ele também modifica regras de firewall, implementa persistência por meio de tarefas agendadas, cria usuários backdoor locais e abre uma shell cmd.exe na porta 5267, acessível pelo túnel FRP.
Um dos payloads baixados, “ctrl.exe”, funciona como um loader em .NET para lançar um payload embutido, a CTRL Management Platform.
Essa plataforma pode atuar como servidor ou cliente, dependendo dos parâmetros da linha de comando, e se comunica por meio de um named pipe do Windows.
“O design dual permite que o operador implante o ctrl.exe uma única vez na máquina vítima (via stager) e então interaja com ele executando o ctrl.exe no modo cliente via sessão RDP tunelada pelo FRP”, detalha a Censys.
“A arquitetura de named pipe mantém todo o tráfego de comando e controle (C2) local na máquina vítima, sem tráfego pela rede além da própria sessão RDP.”
Os comandos suportados pelo malware permitem coletar informações do sistema, ativar um módulo de phishing para captura de credenciais e iniciar um keylogger como serviço em background, quando configurado como servidor.
O keylogger registra todas as teclas pressionadas em “C:\Temp\keylog.txt” por meio da instalação de um hook de teclado e depois exfiltra os dados.
O componente de captura de credenciais é um aplicativo Windows Presentation Foundation (WPF) que simula uma janela legítima de verificação do PIN do Windows.
Essa janela bloqueia tentativas de sair pelas teclas de atalho, como Alt+Tab, Alt+F4 ou F4, e valida o PIN inserido contra o prompt oficial por meio de automação de interface utilizando o método SendKeys().
“Se o PIN for rejeitado, a vítima recebe uma mensagem de erro e é solicitada a tentar novamente”, explica Northern.
“Mesmo que o PIN seja válido, a janela permanece aberta.
O PIN capturado é registrado com o prefixo [STEALUSER PIN CAPTURED] no mesmo arquivo usado pelo keylogger em background.”
Outro comando do toolkit permite enviar notificações toast falsificadas, imitando navegadores como Google Chrome, Microsoft Edge, Brave, Opera, Opera GX, Vivaldi, Yandex e Iron, para executar mais roubo de credenciais ou distribuir outras cargas maliciosas.
Além disso, outros dois payloads são baixados durante o ataque:
- FRPWrapper.exe, uma DLL escrita em Go, carregada na memória para estabelecer túneis reversos de RDP e uma shell TCP raw por meio do servidor FRP do operador
- RDPWrapper.exe, que permite sessões RDP simultâneas ilimitadas
“A ferramenta demonstra cuidado operacional intencional.
Nenhum dos três binários hospedados contém endereços C2 hardcoded”, destaca a Censys.
“Toda a exfiltração de dados ocorre via túnel FRP na sessão RDP.
O operador acessa a área de trabalho da vítima e lê dados do keylog pelo named pipe ctrl.
Essa arquitetura gera poucos vestígios forenses de rede, diferente dos padrões tradicionais de beacon C2.”
“O toolkit CTRL reflete a tendência de ferramentas exclusivas para operadores individuais que priorizam segurança operacional em vez da quantidade de recursos.
Ao rotear toda interação via túneis reversos FRP para sessões RDP, o operador evita padrões de beacon em rede típicos de RATs comerciais.”
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...