Trojan Xeno RAT de Código Aberto Surge como uma Ameaça Potente no GitHub
28 de Fevereiro de 2024

Um "intrincamente projetado" cavalo de Troia de acesso remoto (RAT) chamado Xeno RAT foi disponibilizado no GitHub, tornando-o facilmente acessível a outros atores sem custo adicional.

Escrito em C# e compatível com os sistemas operacionais Windows 10 e Windows 11, o RAT de código aberto vem com um "conjunto completo de recursos para gerenciamento de sistema remoto", de acordo com seu desenvolvedor, que usa o nome moom825.

Inclui um proxy reverso SOCKS5 e a capacidade de gravar áudio em tempo real, bem como incorporar um módulo de computação em rede virtual oculto (hVNC) na linha do DarkVNC, que permite que os invasores obtenham acesso remoto a um computador infectado.

"O Xeno RAT é desenvolvido totalmente do zero, garantindo uma abordagem única e personalizada para ferramentas de acesso remoto", declara o desenvolvedor na descrição do projeto.

Outro aspecto notável é que ele tem um construtor que permite a criação de variantes personalizadas do malware.

Vale notar que moom825 também é o desenvolvedor de outro RAT baseado em C# chamado DiscordRAT 2.0, que foi distribuído por atores de ameaça dentro de um pacote npm malicioso chamado node-hide-console-windows, conforme revelado pela ReversingLabs em outubro de 2023.

A empresa de cibersegurança Cyfirma, em um relatório publicado na semana passada, disse que observou o Xeno RAT sendo disseminado através da rede de distribuição de conteúdo do Discord (CDN), ressaltando mais uma vez como um aumento no malware acessível e livremente disponível está impulsionando um aumento nas campanhas que utilizam RATs.

"O vetor primário na forma de um arquivo de atalho, disfarçado como um screenshot do WhatsApp, age como um downloader", disse a empresa.

"O downloader baixa o arquivo ZIP do CDN do Discord, extrai e executa o payload do próximo estágio."
A sequência multi-estágio aproveita uma técnica chamada DLL side-loading para lançar uma DLL maliciosa, enquanto simultaneamente toma medidas para estabelecer persistência e evitar análise e detecção.

O surgimento ocorre enquanto o Centro de Inteligência de Segurança AhnLab (ASEC) revelou o uso de uma variante do Gh0st RAT chamada Nood RAT que é usada em ataques direcionados a sistemas Linux, permitindo aos adversários colher informações sensíveis.

"Nood RAT é um malware de backdoor que pode receber comandos do servidor C&C para realizar atividades maliciosas, como baixar arquivos maliciosos, roubar arquivos internos dos sistemas e executar comandos", disse ASEC.

"Embora simples na forma, ele é equipado com o recurso de criptografia para evitar a detecção de pacotes de rede e pode receber comandos de atores de ameaça para realizar várias atividades maliciosas."

Publicidade

Proteja sua empresa contra hackers através de um Pentest

Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...