CABINETRAT Porta dos fundos
Pesquisadores de segurança da informação publicaram um alerta sobre uma campanha direcionada observada em setembro de 2025 que instala um backdoor em linguagem C rastreado como CABINETRAT. De acordo com a Equipe de Resposta a Emergências de Computadores da Ucrânia (CERT-UA), a atividade é atribuída a um cluster rastreado (UAC-0245) após os analistas descobrirem complementos do Microsoft Excel (arquivos XLL) usados como armas na cadeia de ataque.
Índice
Arquivos ZIP e um documento policial falso
Segundo relatos, os invasores empacotaram os XLLs maliciosos em arquivos ZIP e os distribuíram pelo aplicativo de mensagens Signal, se passando por um documento relacionado a detenções na fronteira com a Ucrânia. Quando a vítima extrai e abre o XLL, a sequência de downloads começa.
O que o conta-gotas cria
Vários arquivos estão sendo gerados nos sistemas comprometidos, incluindo:
- um EXE colocado na pasta de inicialização do Windows
- um XLL chamado BasicExcelMath.xll em %APPDATA%\Microsoft\Excel\XLSTART\
- um PNG chamado Office.png que na verdade carrega shellcode incorporado
Esses arquivos são criados no host como parte da persistência e preparação da carga útil.
Como a carga útil é ativada
O XLL implantado configura entradas do Registro para garantir que o EXE seja executado na inicialização e, em seguida, inicia o Excel (excel.exe) com a opção /e (incorporar) em modo oculto para que o suplemento seja carregado silenciosamente. O XLL carregado extrai o shellcode oculto dentro da imagem PNG que o acompanha; esse shellcode é o implante do CABINETRAT. As diretrizes da Microsoft observam que suplementos XLL não confiáveis são comumente usados indevidamente por agentes de ameaças, e as versões modernas do Excel bloqueiam XLLs não confiáveis por padrão — mas a engenharia social e a aprovação do usuário ainda podem permitir sua execução.
Antianálises e medidas de sandbox
Tanto o carregador XLL quanto o shellcode na memória realizam verificações anti-VM e anti-análise. Exemplos observados nos exemplos incluem a verificação de pelo menos dois núcleos de CPU, a verificação de um mínimo de ~3 GB de RAM e a busca por artefatos de virtualização ou análise (VMware, VirtualBox, Xen, QEMU, Parallels, Hyper-V). Essas verificações visam abortar ou alterar o comportamento em ambientes de laboratório/sandbox e reduzir a probabilidade de detecção.
Capacidades Maliciosas do CABINETRAT
CABINETRAT é um backdoor completo escrito em C. Seus recursos documentados incluem: enumeração do sistema (informações do sistema operacional e hardware), listagem de aplicativos instalados, captura de tela, enumeração de diretórios, remoção de arquivos ou pastas especificados, execução de comandos arbitrários e upload/download de arquivos. As comunicações de rede ocorrem por meio de um canal TCP para a infraestrutura remota de Comando e Controle (C2), permitindo que os operadores interajam com hosts infectados.
Campanhas semelhantes contra a Ucrânia
Esta divulgação ocorre na esteira de outras campanhas altamente direcionadas contra entidades ucranianas. Pesquisadores relataram recentemente uma operação separada de phishing sem arquivo que se passou pela Polícia Nacional da Ucrânia e distribuiu payloads como o Amatera Stealer (roubo de dados) e o PureMiner (criptomineração), ilustrando que diversos vetores e famílias de malware estão sendo usados em paralelo contra organizações na região.
Monitorar, Isolar, Remediar
Dada a natureza ativa e direcionada desta campanha e as táticas antianálise dos operadores, os defensores devem presumir que qualquer arquivo suspeito entregue pelo Signal contendo suplementos do Office é potencialmente malicioso. Priorize a contenção de hosts suspeitos, colete artefatos voláteis (listas de processos, memória, conexões de rede) e compartilhe indicadores confirmados com o CERT-UA ou seu CSIRT local para ajudar a mapear e interromper as operações do agente.
