Pesquisadores de cibersegurança descobriram um novo e sofisticado trojan de acesso remoto chamado ResolverRAT, que tem sido observado em ataques direcionados aos setores de saúde e farmacêutico.
"O ator de ameaça aproveita iscas baseadas em medo entregues via e-mails de phishing, projetados para pressionar os destinatários a clicar em um link malicioso," disse o pesquisador da Morphisec Labs, Nadav Lorber, em um relatório compartilhado com o The Hacker News.
"Uma vez acessado, o link direciona o usuário para baixar e abrir um arquivo que dispara a cadeia de execução do ResolverRAT." A atividade, observada tão recentemente quanto 10 de março de 2025, compartilha infraestrutura e sobreposição do mecanismo de entrega com campanhas de phishing que distribuíram malware de roubo de informações, como Lumma e Rhadamanthys, documentados pela Cisco Talos e Check Point no último ano.
Um aspecto notável da campanha é o uso de iscas de phishing localizadas, com os e-mails elaborados nas línguas predominantemente faladas nos países alvo.
Isso inclui Hindi, Italiano, Tcheco, Turco, Português e Indonésio, indicando as tentativas do ator de ameaça de lançar uma ampla rede através do direcionamento específico de região e maximizar as taxas de infecção.
O conteúdo textual nas mensagens de e-mail emprega temas relacionados a investigações legais ou violações de direitos autorais que buscam induzir um falso senso de urgência e aumentar a probabilidade de interação do usuário.
A cadeia de infecção é caracterizada pelo uso da técnica de DLL side-loading para iniciar o processo.
O primeiro estágio é um carregador em memória que descriptografa e executa o payload principal, enquanto também incorpora uma série de truques para passar despercebido.
Não só o payload do ResolverRAT usa criptografia e compressão, mas também existe apenas na memória uma vez que é decodificado.
"A sequência de inicialização do ResolverRAT revela um sofisticado processo de inicialização multi-estágio projetado para stealth e resiliência," disse Lorber, acrescentando que ele "implementa múltiplos métodos de persistência redundantes" por meio do Registro do Windows e no sistema de arquivos, instalando-se em diferentes localizações como mecanismo de fallback.
Uma vez lançado, o malware utiliza uma autenticação baseada em certificado personalizado antes de estabelecer contato com um servidor de comando e controle (C2) de forma que ele contorne as autoridades raiz da máquina.
Ele também implementa um sistema de rotação de IP para se conectar a um servidor C2 alternativo se o servidor C2 primário se tornar indisponível ou for desativado.
Além disso, ResolverRAT é equipado com capacidades para evitar esforços de detecção através de certificate pinning, obfuscação de código-fonte, e padrões de comunicação irregulares com o servidor C2.
"Esta infraestrutura C2 avançada demonstra as capacidades avançadas do ator de ameaça, combinando comunicações seguras, mecanismos de fallback, e técnicas de evasão projetadas para manter acesso persistente enquanto evade a detecção por sistemas de monitoramento de segurança," disse Morphisec.
O objetivo final do malware é processar comandos emitidos pelo servidor C2 e exfiltrar as respostas de volta, quebrando dados acima de 1 MB em pedaços de 16 KB de modo a minimizar as chances de detecção.
A campanha ainda não foi atribuída a um grupo específico ou país, embora as semelhanças em temas de isca e o uso de DLL side-loading com ataques de phishing anteriormente observados aludam a uma possível conexão.
"O alinhamento [...] indica uma possível sobreposição na infraestrutura de ator de ameaça ou playbooks operacionais, potencialmente apontando para um modelo de afiliado compartilhado ou atividade coordenada entre grupos de ameaças relacionados," disse a empresa.
Esse desenvolvimento ocorre enquanto a CYFIRMA detalhou outro trojan de acesso remoto codinome Neptune RAT que usa uma abordagem modular e baseada em plugin para roubar informações, manter persistência no host, exigir um resgate de $500, e até mesmo sobrescrever o Master Boot Record (MBR) para interromper o funcionamento normal do sistema Windows.
Ele está sendo propagado livremente por meio do GitHub, Telegram e YouTube.
Dito isso, o perfil no GitHub associado ao malware, chamado MasonGroup (também conhecido como FREEMASONRY), não está mais acessível.
"O Neptune RAT incorpora técnicas avançadas de anti-análise e métodos de persistência para manter sua presença no sistema da vítima por períodos prolongados e vem embalado com recursos perigosos," observou a empresa em uma análise publicada na última semana.
Isso inclui um "crypto clipper, ladrão de senhas com capacidades de exfiltrar credenciais de mais de 270+ aplicações diferentes, capacidades de ransomware, e monitoramento ao vivo da área de trabalho, tornando-o uma ameaça extremamente séria."
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...