HyperBro RAT

O HyperBro RAT é um Trojan de Acesso Remoto, uma ferramenta que é usada para obter acesso não autorizado a um computador a partir de um local remoto. RATs como o HyperBro RAT podem ser usados para fins legítimos, como suporte técnico, mas podem ser usados por criminosos para controlar os computadores das vítimas. Uma vez que o computador da vítima tenha sido comprometido, os criminosos podem usar o dispositivo infectado para realizar outros ataques, usar a infecção HyperBro RAT para coletar dados do computador infectado ou monitorar as atividades das vítimas. O HyperBro RAT faz parte de um grande arsenal de ferramentas de malware e hacking que são usadas pelo LuckyMouse comumente, um grupo criminoso APT (Advanced Persistent Threat) que opera na China.

Por Que o HyperBro RAT é Ameaçador

Os criminosos do grupo LuckyMouse, também conhecido como APT27, têm inúmeras ameaças de malware à sua disposição. Os ataques envolvendo o APT27 e o HyperBro RAT visam alvos de alto perfil, como alvos políticos e grandes organizações tipicamente. Enquanto o APT27 utiliza ferramentas publicamente disponíveis e malware como parte de seu ataque, o HyperBro RAT é uma ferramenta proprietária, criada por eles e usada para seus próprios ataques. O fato de o APT27 criar o HyperBro RAT e personalizá-lo para suas próprias necessidades torna o HyperBro RAT mais eficaz do que muitos outros RATs, uma vez que os programas de segurança têm menor probabilidade de detectar uma infecção HyperBro RAT e podem ser mais eficazes na segmentação dos alvos preferidos do APT27 especificamente. Um dos mais recentes ataques do HyperBro RAT relatados ocorreu em um data center na Ásia, o que permitiu que o APT27 coletasse grandes quantidades de dados pertencentes a vários alvos políticos. Este ataque também foi usado como uma forma de obter credenciais e outros dados sobre vários alvos políticos.

Como Funcionam os Ataques do HyperBro RAT

Os ataques do HyperBro RAT podem ser realizados de várias formas diferentes. Trojans como o HyperBro RAT são projetados para executar seus ataques depois que a vítima interage com um arquivo ou script de alguma forma e, ao contrário dos worms, ameaças como o HyperBro RAT não podem se espalhar de forma autônoma. No passado, o HyperBro RAT estava sendo disseminado através de anexos de e-mail corrompidos, anexos de arquivos corrompidos com scripts de macros embutidos que baixavam e instalavam o HyperBro RAT no computador da vítima, geralmente como parte de um ataque de malware de várias etapas. O HyperBro RAT não usa muitos arquivos em seu ataque e parece deixar um espaço muito pequeno após a conclusão da infecção pelo HyperBro RAT. O HyperBro RAT carrega seus módulos na memória do computador infectado e limpa todos os dados das unidades infectadas. O HyperBro RAT também carregará seu ataque em processos de memória legítimos, o que dificulta a detecção e a remoção por softwares antimalware do que outros RATs.

O Processo de Infecção do HyperBro RAT

RATs como o HyperBro RAT se comunicam com um servidor de Comando e Controle, que permite que o malware receba instruções de seus controladores e retransmita informações sobre o dispositivo infectado. Os servidores de Comando e Controle do HyperBro RAT parecem estar localizados na Ucrânia, e não na China (que é onde eles seriam esperados desde que o HyperBro RAT é usado pelo chinês APT LuckyMouse). Na verdade, é comum que invasores usem um dispositivo comprometido para hospedar seus servidores de Comando e Controle, como uma maneira de dificultar a detecção e a remoção. O HyperBro RAT não possui tantos recursos quanto muitos outros RATs, embora o ataque que ele realiza seja bastante eficaz. O HyperBro RAT pode:

• Modifique diretórios de arquivos e dados em dispositivos infectados.
• Procure dados no dispositivo infectado.
• Enviar informações ao invasor sobre o dispositivo infectado.