ExileRAT
O ExileRAT é um RAT (Remote Access Trojan) que foi usado para visar os computadores associados à Administração Central Tibetana ou CTA. O CTA, com sede na Índia, é a organização que representa o governo tibetano no exílio oficialmente porque o Tibete é ocupado pela China atualmente, um ato que o CTA considera ilegal. Como o ExileRAT está sendo usado para atacar o CTA, há alguma suspeita de que o ExileRAT possa fazer parte de um ataque de malware patrocinado pelo estado. É importante que os usuários de computadores associados a causas políticas divisivas, tais como o movimento livre do Tibete, tomem medidas adicionais para salvaguardar a segurança e as redes dos seus computadores, já que eles geralmente são o principal alvo de ataques de malware.
Índice
Por Que a Campanha do ExileRAT é Ameaçadora
Recentemente, os pesquisadores de segurança do PC relataram e-mails de spam direcionados aos assinantes da lista de discussão mantida pelo CTA. As vítimas desses e-mails receberam e-mails supostamente vindos da CTA, convidando-os para uma passeata e um evento, e contendo um anexo da Microsoft PowerPoint intitulado "Nunca foi uma parte da China". O ExileRAT será baixado e instalado no computador da vítima por esse anexo, que usa scripts corrompidos para realizar essa tarefa. Uma vez instalado, o ExileRAT é usado para coletar informações no computador infectado. É claro que o objetivo do ExileRAT é a espionagem em vez de tentar ganhar dinheiro às custas dos usuários de computador, já que o seu objetivo principal é coletar dados. Isso reforça a teoria de que o ExileRAT é patrocinado pelo Estado, possivelmente projetado por um governo que tenta espionar possíveis inimigos ou civis.
Como a Campanha que Está Sendo Usada para Distribuir o ExileRAT Funciona
O ExileRAT existe independentemente dessa campanha que visa o CTA, mas este é um dos usos recentes mais proeminentes dessa ameaça. Os primeiros e-mails associados a essa recente campanha de e-mail de spam apareceram pela primeira vez em 30 de janeiro de 2019. O ExileRAT, no entanto, é anterior a essa campanha. O documento corrompido usado para entregar o ExileRAT é uma cópia de um arquivo PDF legítimo que pode ser baixado do site da CTA, permitindo que a vítima seja enganada e veja o seu conteúdo enquanto o ExileRAT é instalado em segundo plano.
O ExileRAT aproveita a exploração da vulnerabilidade de segurança CVE-2017-0199 para comprometer o computador da vítima. Uma vez que o ExileRAT tenha sido instalado, ele estabelece uma conexão com o seu servidor de Comando e Controle, enviando informações sobre o computador afetado, tai como o nome do computador, nome de usuário, unidades, adaptador de rede, nomes de processos, etc. O ExileRAT também pode ser usado para entregar arquivos corrompidos no computador infectado, manipule processos de arquivos e colete dados diretamente. Parte da infraestrutura associada à campanha do ExileRAT foi vinculada a outros RATs, tais como o Android RAT e o LuckyCat, que compartilham um servidor de Comando e Controle com a campanha usada para entregar o ExileRAT aos assinantes do CTA. Esses outros RATs foram usados em ataques contra ativistas tibetanos desde 2012, o que faz com que esses ataques não sejam de todo novos.
Ficando a Salvo de Ameaças como o ExileRAT
Os ativistas políticos devem garantir a proteção contra ameaças como o ExileRAT, uma vez que eles são especificamente visados pelos distribuidores e desenvolvedores de malware com frequência. Como o ExileRAT é entregue principalmente por e-mail, é importante confirmar o remetente e a origem de qualquer mensagem de e-mail, especialmente aquelas que contêm arquivos anexados e links incorporados. Os usuários de computador também devem suspeitar de qualquer conteúdo adicional como esse que esteja incluído em uma mensagem de email não solicitada. Os usuários de computador devem proteger os seus computadores contra ameaças como o ExileRAT usando um programa de segurança que esteja sempre operacional, e que possa ser usado para interceptar scripts corrompidos associados a campanhas que oferecem o ExileRAT ou ameaças semelhantes. Também é importante estabelecer senhas fortes e protocolos de segurança online.
