Cotação de desconto para licenças múltiplas
Banco de Dados de Ameaças Ferramentas de Administração Remota Interlock RAT

Interlock RAT

Por Mezo em Ferramentas de Administração Remota, Ameaça Persistente Avançada (APT), Ransomware
Traduzir Para:

Os cibercriminosos por trás da operação de ransomware Interlock estão intensificando seus esforços com uma variante PHP recém-desenvolvida de seu trojan de acesso remoto (RAT) personalizado, o Interlock RAT, também conhecido como NodeSnake. Essa ameaça aprimorada foi observada em uma ampla campanha usando um mecanismo de entrega evoluído chamado FileFix, um desdobramento da técnica ClickFix, anteriormente conhecida. O desenvolvimento marca uma mudança significativa na estratégia de ataque do grupo, expandindo seu alcance e demonstrando crescente sofisticação técnica.

Entrada furtiva: injeção de script e redirecionamento de tráfego

A campanha, ativa desde maio de 2025, começa com sites comprometidos injetados com um snippet JavaScript de uma única linha aparentemente inofensivo, inserido no código HTML. Esse script funciona como um sistema de distribuição de tráfego (TDS), empregando filtragem baseada em IP para redirecionar visitantes direcionados a páginas falsas de verificação de CAPTCHA. Essas páginas fraudulentas utilizam iscas baseadas no ClickFix para induzir os usuários a executar scripts maliciosos do PowerShell. O resultado é a instalação do Interlock RAT, que permite aos invasores se infiltrarem no sistema da vítima.

FileFix: Uma inovação de entrega armada

As campanhas mais recentes observadas em junho de 2025 demonstram o uso do FileFix, uma versão mais avançada do ClickFix, como principal vetor de infecção. O FileFix explora a barra de endereços do Explorador de Arquivos do Windows para induzir usuários a executar comandos maliciosos por meio de engenharia social. Originalmente demonstrado como uma prova de conceito em junho de 2025, o FileFix agora foi operacionalizado para distribuir a variante PHP do Interlock RAT e, em alguns casos, essa implantação atua como precursora da instalação da variante mais tradicional baseada em Node.js.

Cargas úteis multiestágio e capacidades furtivas

Uma vez implantado, o Interlock RAT inicia o reconhecimento do host e a exfiltração de informações do sistema em formato JSON. Ele verifica os níveis de privilégio (USUÁRIO, ADMINISTRADOR ou SISTEMA) e estabelece contato com um servidor remoto de comando e controle (C2). Cargas adicionais, arquivos EXE ou DLL, são buscadas para execução.

  • Os mecanismos de persistência incluem:
  • Modificando o Registro do Windows para manter a execução da inicialização.
  • Permitindo movimento lateral por meio do acesso ao Protocolo de Área de Trabalho Remota (RDP).

Além disso, uma técnica de evasão notável envolve o uso de subdomínios do Túnel Cloudflare, mascarando a localização real do servidor C2. Endereços IP codificados servem como backups para manter a conectividade caso os túneis sejam interrompidos.

Rastreando a ameaça: alvos passados e motivos presentes

No início de 2025, o Interlock RAT esteve envolvido em ataques a governos locais e instituições educacionais no Reino Unido, utilizando a variante Node.js. No entanto, a recente mudança para PHP, uma linguagem comum de desenvolvimento web, sugere uma abordagem mais oportunista, visando uma gama mais ampla de setores. A transição para PHP indica uma decisão tática para ampliar os vetores de infecção, potencialmente explorando infraestruturas web vulneráveis.

Indicadores-chave da campanha

Vítimas e agentes de segurança cibernética devem estar atentos às seguintes características das operações mais recentes da Interlock:

Vetor de Ataque Inicial:

  • Injeções de JavaScript de linha única em sites legítimos, mas comprometidos.
  • Redirecionamento para páginas CAPTCHA falsas usando filtragem de IP.

Comportamento do malware pós-infecção:

  • Reconhecimento de host e exfiltração de informações do sistema em formato JSON.
  • Verificações de privilégios e execução remota de payload.
  • Persistência baseada em registro e exploração de RDP para movimentação.

Conclusão: Perfil de ameaça crescente do Interlock Group

O surgimento da variante PHP do Interlock RAT demonstra a crescente versatilidade do grupo e sua intenção de se manter à frente das contramedidas defensivas. Ao aproveitar scripts web e recursos nativos do sistema, os invasores do Interlock estão confundindo os limites entre a distribuição tradicional de malware e o abuso criativo de funcionalidades cotidianas do sistema. As equipes de segurança devem permanecer vigilantes e implementar defesas em camadas para detectar e bloquear essas ameaças em evolução.

Tendendo

Mais visto

Carregando...