Cotação de desconto para licenças múltiplas
Banco de Dados de Ameaças Ferramentas de Administração Remota HoldingHands RAT

HoldingHands RAT

Por Mezo em Ferramentas de Administração Remota, Ameaça Persistente Avançada (APT)
Traduzir Para:

Os agentes de ameaças por trás da família de malware Winos 4.0 (também identificada como ValleyRAT) expandiram suas operações para além da China e Taiwan, atingindo o Japão e a Malásia. Nessas campanhas recentes, o grupo distribuiu um segundo trojan de acesso remoto (RAT) identificado como HoldingHands (também conhecido como Gh0stBins), utilizando documentos de phishing de engenharia social como vetor principal.

Como a campanha se espalha

Os invasores distribuem o malware por meio de e-mails de phishing que incluem anexos em PDF com links maliciosos incorporados. Os PDFs se passam por comunicações oficiais — em alguns casos, passando-se por documentos do Ministério da Fazenda — e contêm vários links, dos quais apenas um leva ao download malicioso. Em outros incidentes, a isca é uma página da web (por exemplo, uma página em japonês hospedada em uma URL como "twsww[.]xin/download[.]html") que solicita às vítimas que baixem um arquivo ZIP contendo o RAT.

Métodos de Distribuição e Atribuição

O Winos 4.0 é comumente propagado por meio de campanhas de phishing e envenenamento por SEO que redirecionam as vítimas para páginas de download falsas que se passam por software legítimo (exemplos observados incluem instaladores falsificados para Google Chrome, Telegram, Youdao, Sogou AI, WPS Office e DeepSeek). Pesquisadores de segurança associam o uso do Winos a um grupo agressivo de cibercriminosos conhecido como Silver Fox, SwimSnake, Valley Thief (O Grande Ladrão do Vale), UTG-Q-1000 e Void Arachne. Em setembro de 2025, pesquisadores relataram que esse agente estava abusando de um driver vulnerável, anteriormente não documentado, fornecido junto com um produto do fornecedor chamado WatchDog Anti-malware em uma técnica BYOVD (Bring Your Own Vulnerable Driver) para desabilitar a proteção de endpoint. Anteriormente (agosto de 2025), o grupo empregou envenenamento por SEO para disseminar os módulos HiddenGh0st e Winos, e um relatório de junho documentou o Silver Fox usando PDFs com armadilhas para preparar infecções em várias etapas que, por fim, implantaram o HoldingHands RAT. As iscas históricas incluem arquivos Excel com temas tributários usados contra a China desde março de 2024; esforços recentes mudaram para páginas de destino de phishing direcionadas à Malásia.

Infecção e persistência em vários estágios

A infecção geralmente começa com um executável disfarçado de auditoria fiscal ou outro documento oficial. Esse executável carrega uma DLL maliciosa, que atua como um carregador de shellcode para um payload chamado "sw.dat". O carregador executa diversas ações de defesa e antianálise — verificações anti-VM, verificando processos em execução em busca de produtos de segurança conhecidos e encerrando-os, aumentando privilégios e desabilitando o Agendador de Tarefas do Windows — antes de passar o controle para as etapas subsequentes.

Arquivos observados descartados no sistema:

  • svchost.ini — contém o RVA para VirtualAlloc.
  • TimeBrokerClient.dll (o legítimo TimeBrokerClient.dll renomeado para BrokerClientCallback.dll).
  • msvchost.dat — shellcode criptografado.
  • system.dat — carga criptografada.
  • wkscli.dll — DLL não utilizada/espaço reservado.

Ativação furtiva e gatilho do agendador de tarefas

Em vez de depender de um processo explícito de inicialização, a campanha aproveita o comportamento do Agendador de Tarefas do Windows: o Agendador de Tarefas é executado como um serviço sob o svchost.exe e, por padrão, é configurado para reiniciar logo após uma falha. O malware altera arquivos para que, quando o serviço do Agendador de Tarefas for reiniciado, o svchost.exe carregue o arquivo malicioso TimeBrokerClient.dll (renomeado BrokerClientCallback.dll). Essa DLL aloca memória para o shellcode criptografado usando o endereço VirtualAlloc armazenado no svchost.ini e, em seguida, faz com que o msvchost.dat descriptografe o system.dat e extraia a carga útil do HoldingHands. Esse gatilho "reiniciar serviço → carregar DLL" reduz a necessidade de execução direta do processo e complica a detecção baseada em comportamento.

Escalonamento de privilégios para TrustedInstaller

Para obter as permissões necessárias para renomear e substituir componentes protegidos do sistema (por exemplo, renomear o arquivo TimeBrokerClient.dll original), o carregador personifica contas de sistema com privilégios altos. A sequência observada é:

  • Habilite o SeDebugPrivilege para acessar o processo Winlogon e seu token.
  • Adote o token Winlogon para executar como SYSTEM.
  • Em SYSTEM, adquira um contexto de segurança TrustedInstaller — a conta usada pela Proteção de Recursos do Windows para proteger arquivos críticos do sistema operacional.
  • Usando esse contexto do TrustedInstaller, o malware pode modificar arquivos protegidos em C:\Windows\System32 (uma ação normalmente restrita até mesmo para administradores).

Como a carga útil executa e mantém o controle

O componente malicioso TimeBrokerClient aloca memória de acordo com o RVA em svchost.ini, coloca o shellcode descriptografado de msvchost.dat lá e o executa. O payload descriptografado descompacta o HoldingHands, que então estabelece comunicação com um servidor remoto de comando e controle (C2). Os recursos observados incluem:

  • Enviando informações do host para o C2.
  • Enviando mensagens de pulsação a cada 60 segundos para manter o canal ativo.
  • Receber e executar comandos remotos (roubo de dados, execução de comandos arbitrários, busca de cargas adicionais).
  • Um recurso adicional que permite ao operador atualizar o endereço C2 por meio de uma entrada do Registro do Windows.

Segmentação, foco no idioma e provável motivo

Amostras e iscas recentes indicam um foco em vítimas de língua chinesa, embora o escopo geográfico agora inclua Japão e Malásia. Os padrões operacionais — reconhecimento, segmentação regional, persistência furtiva e funcionalidade de backdoor modular — apontam para a coleta de informações na região, com implantes frequentemente deixados inativos aguardando novas instruções.

Resumo

Operadores vinculados à Silver Fox expandiram a atividade do Winos 4.0 e adicionaram o HoldingHands RAT ao seu conjunto de ferramentas, utilizando engenharia social sofisticada (PDFs e páginas com SEO envenenado) e uma sofisticada cadeia de execução em vários estágios que explora o comportamento do Agendador de Tarefas e os privilégios do TrustedInstaller para persistir e evitar a detecção. As capacidades e os alvos da operação sugerem um esforço concentrado de coleta de inteligência regional, com implantes modulares e de longa duração, aguardando comandos do operador.

Tendendo

Mais visto

Carregando...