Kedi RAT
O Kedi RAT é um malware que os criminosos podem usar para controlar o computador da vítima de um local remoto. Os RATs, ou Trojans de Acesso Remoto, permitem que os criminosos usem o computador e acessem o seu conteúdo automaticamente. O Kedi RAT foi observado pela primeira vez em setembro de 2017 e foi associado a vários ataques recentes em agosto de 2018. Não há diferenças drásticas entre o Kedi RAT e outros RATs. Normalmente, os avanços nesses ataques acontecem da maneira como são distribuídos, ignorando a segurança da vítima para instalar o componente do Kedi RAT. Um aspecto único do Kedi RAT, no entanto, é como ele se comunica com os seus servidores de Comando e Controle. O Kedi RAT parece usar o Gmail para enviar mensagens de e-mail para os seus operadores.
Índice
Como o Kedi RAT Ataca um Computador
O Kedi RAT está sendo distribuído como uma versão falsa do Citrix, um utilitário que as empresas usam para manter seu fluxo de trabalho e gerenciar as suas operações. Esse é um método típico de realizar ataques, disfarçando malwares como o Kedi RAT e fazendo as vítimas acreditarem que os seus arquivos contêm algo diferente. As vítimas do ataque do Kedi RAT receberão e-mails de phishing supostamente contendo uma atualização para a Citrix. Quando as vítimas abrem a suposta atualização, o Kedi RAT é instalado nos seus computadores.
Como Funciona o Ataque do Kedi RAT
Uma vez instalado no computador da vítima, o Kedi RAT fará alterações no Registro do Windows para garantir a persistência e assumir o controle do computador da vítima. O Kedi RAT possui diversos recursos tipicamente associados a outros RATs. Alguns dos recursos que os analistas de segurança do PC observaram no Kedi RAT incluem:
- O Kedi RAT pode ser usado para abrir os arquivos da vítima, incluindo dados criptografados e arquivos protegidos por senha.
- O Kedi RAT pode ser usado para fazer capturas de tela do computador infectado, incluindo fotos da área de trabalho e de quaisquer aplicativos abertos.
- O Kedi RAT pode ser executado em segundo plano para registrar qualquer pressionamento de tecla na área de trabalho do computador infectado, permitindo a interceptação de mensagens, senhas e outros dados confidenciais privados.
- O Kedi RAT pode ser usado para coletar arquivos, que podem ser enviados para os seus servidores de Comando e Controle.
- O Kedi RAT inclui componentes que permitem observar se ele está sendo executado em um ambiente virtual. Se esse for o caso, o Kedi RAT irá falhar intencionalmente e se excluir para impedir que os pesquisadores de segurança do PC dissequem e estudem o seu código.
- O Kedi RAT é capaz de coletar senhas e credenciais de login de muitos aplicativos comumente usados, que incluem navegadores da Web, aplicativos de email, clientes FTP, software de mensagens instantâneas e muitos outros.
O traço único do Kedi RAT que não é visto em outras ameaças comumente é a sua capacidade de usar a versão HTML do Gmail para se comunicar com os seus servidores de Comando e Controle através de e-mails criptografados. Devido aos recursos de ofuscação do Kedi RAT e de seus recursos para evitar a detecção, pode ser difícil detectar ou remover a ameaça representada pelo Kedi RAT.
Protegendo o Seu Computador contra Ameaças como o Kedi RAT
A melhor proteção contra ameaças como o Kedi RAT é ter as últimas correçōes de segurança para o seu sistema operacional e aplicativos. Você deve estar ciente de como as táticas de phishing funcionam e ter cuidado ao abrir e-mails não solicitados ou clicar em links potencialmente suspeitos. Prestar atenção nos seus URLs e aprender a identificar qualquer coisa que possa estar relacionada a um anúncio on-line, um link ou um e-mail pode ajudar os usuários de computador a se protegerem de ameaças como o Kedi RAT. É claro que um programa de segurança sempre atualizado pode interceptar ameaças como o Kedi RAT antes de serem instaladas e remover ameaças como o Kedi RAT de um computador infectado.
