HabitsRAT

O HabitsRAT é uma nova ameaça de malware escrita na linguagem de programação Go. Parece que mais cibercriminosos estão começando a usar o Go especificamente, já que o malware criado com ele parece ser mais difícil de ser detectado pelos produtos anti-malware. O objetivo principal do HabitsRAT, como o próprio nome sugere, é atuar como um Trojan de Acesso Remoto (RAT), dando ao autor da ameaça controle sobre o sistema comprometido. Quando a ameaça foi descoberta inicialmente pelos analistas de segurança cibernética, ela estava sendo implantada em uma campanha de ataque direcionada aos servidores do Microsoft Exchange. Desde então, no entanto, uma nova variante do Windows foi lançada junto com uma variante capaz de infectar servidores Linux.

Embora o design do HabitsRAT pareça bastante simples, sua funcionalidade torna a ameaça bastante eficaz. A estrutura do código das versões do Windows e do Linux compartilha uma sobreposição considerável com o código específico do sistema contido nos arquivos 'commandplatform_windows.go', 'keyplatform_windows.go' e 'persistencehandler_windows.go'. Após a execução, o binário da ameaça se instala em uma pasta na unidade - ' % SystemDrive% WindowsDefenderMsMpEng.exe ' para Windows e '$HOME/.config/polkitd/polkitd ' no Linux. A próxima ação realizada pelo HabitsRAT é verificar se seu mecanismo de persistência já foi estabelecido. Caso contrário, a ameaça continuará a criar uma tarefa agendada 'xml' no Windows, enquanto no Linux ele usa um arquivo de unidade 'systemd'.

Uma Chave de Criptografia Verifica os Comandos HabitsRAT

Para garantir que sua ferramenta ameaçadora não seja assumida por outra parte, os cibercriminosos implementaram um recurso de criptografia. O HabitsRAt usa criptografia pública para criptografar, bem como para autenticar os comandos que recebe dos servidores de Comando e Controle (C2, C&C) da campanha de ataque. O par de chaves pública-privada é gerado usando a biblioteca de código aberto Proton Mail.

A chave de autenticação é armazenada no disco. A versão Linux do HabitsRAT grava em '$HOME/.config/.accounts-daemon/accounts-daemon.login.conf ' ou '/usr/share/accounts-daemon/accounts-daemon.so ' dependendo se é assinado como um usuário normal ou não. As versões do Windows da ameaça usam '% SystemDrive% WindowsDefenderMsMpEng.dll' ou '% APPDATA% Windows NTDefenderMsMpEng.dll'.

Se nenhum comando for recebido, o HabitsRAT dorme por 10 segundos e então envia outra solicitação aos servidores C2. Todas as comunicações recebidas devem ser assinadas pelo autor da ameaça com a chave certa.

Uma Nova Versão do HabitsRAT para o Windows

Os pesquisadores de segurança cibernética encontraram uma nova versão da variante HabitsRAT que tem como alvo os sistemas Windows. O HabitsRAT versão 12 parece possuir muito da mesma funcionalidade exibida pel0 seu antecessor. A principal diferença é que uma nova chave C2 está sendo necessária, enquanto o HabitsRAT agora oferece suporte a vários endereços C2. Mais especificamente, quatro endereços diferentes foram identificados com a ameaça escolhendo um deles aleatoriamente. A lista de endereços é armazenada em dois arquivos - '% SystemDrive% WindowsDefenderDefender.dll' e
'% APPDATA% Windows NTDefenderDefender.dll.'