Malware kkRAT
Pesquisadores de segurança da informação descobriram uma campanha ativa de malware direcionada a usuários de língua chinesa que utiliza um trojan de acesso remoto até então não documentado, denominado kkRAT. A campanha parece estar em execução desde o início de maio de 2025 e combina técnicas familiares de RAT com carregadores modulares e fraudes para evitar a detecção e alcançar persistência.
Índice
ORIGENS DA AMEAÇA E LINKS DE LINHA DE CÓDIGO
A análise mostra que o kkRAT se inspira fortemente em famílias estabelecidas: seu protocolo de rede e algumas estruturas de código se assemelham aos usados pelo Gh0st RAT (Ghost RAT) e pelo Big Bad Wolf (大灰狼), um RAT historicamente usado por grupos cibercriminosos baseados na China. Os autores adicionaram criptografia adicional à compressão, produzindo um canal de comunicação semelhante ao Ghost com uma etapa extra de criptografia.
MÉTODO DE ENTREGA — INSTALADORES FALSOS HOSPEDADOS EM PÁGINAS DO GITHUB
Criminosos hospedavam páginas de phishing no GitHub Pages que se passavam por aplicativos populares (por exemplo, DingTalk) e distribuíam três trojans por meio de instaladores falsos. Ao explorar a reputação do GitHub, os operadores aumentaram a probabilidade de as vítimas confiarem e executarem os instaladores. Especialistas observam que a conta do GitHub usada para hospedar as páginas não está mais disponível.
COMPORTAMENTO DO INSTALADOR
Ao ser executado, o instalador falso realiza várias verificações para detectar ambientes sandbox e máquinas virtuais e tenta contornar os controles de segurança. Ele solicita privilégios de administrador; se concedidos, enumera e desabilita temporariamente os adaptadores de rede ativos — um recurso usado para interferir nas verificações de rede do antivírus e interromper a operação normal do antivírus enquanto ele realiza suas alterações.
TÉCNICAS ANTI-AV
O malware utiliza a técnica "Traga seu próprio driver vulnerável" (BYOVD) para neutralizar as proteções de endpoint, reutilizando o código do projeto de código aberto RealBlindingEDR. Ele busca e tem como alvo específico os seguintes pacotes de proteção para consumidores e empresas:
Pacote de segurança da Internet 360
Segurança Total 360
Conjunto de diagnósticos do sistema HeroBravo
Segurança da Internet Kingsoft
QQ电脑管家
Após encerrar os processos antivírus relevantes, o instalador cria uma tarefa agendada com privilégios de SISTEMA que executa um script em lote a cada logon do usuário — garantindo que os processos antivírus alvo sejam encerrados automaticamente a cada login. O malware também modifica as entradas do Registro do Windows de forma consistente com a desativação das verificações de rede e, em seguida, reativa os adaptadores de rede após a conclusão das modificações.
CADEIA DE CARGA ÚTIL
A função principal do instalador é executar o shellcode, que busca e executa um arquivo shellcode secundário ofuscado, denominado "2025.bin", a partir de uma URL codificada. Esse shellcode atua como um downloader e recupera um artefato chamado "output.log", que então contata duas URLs para baixar dois arquivos ZIP:
- trx38.zip — contém um executável legítimo e uma DLL maliciosa que é iniciada via sideload de DLL.
- p.zip — contém um arquivo chamado longlq.cl que contém uma carga final criptografada.
O malware cria um atalho para o executável legítimo a partir do trx38.zip, coloca esse atalho na pasta de inicialização do usuário para persistência e executa o executável legítimo para que ele carregue a DLL maliciosa. A DLL descriptografa e executa o payload final contido em longlq.cl. O payload final da campanha varia de acordo com a instância; um payload confirmado é kkRAT.
RECURSOS DO kkRAT (COMANDOS, PLUGINS E COMPORTAMENTO)
O kkRAT se conecta a um servidor C2 por meio de um soquete, cria um perfil do host infectado e baixa plugins e comandos que permitem amplo controle remoto e coleta de dados. Seus recursos observados incluem:
- captura de tela e simulação de entrada do usuário (teclado e mouse)
- leitura e modificação de conteúdo da área de transferência (usado para substituição de endereços de criptomoeda)
- habilitar a funcionalidade de área de trabalho remota e iniciar/fechar aplicativos remotamente, incluindo navegadores
- execução remota de comandos por meio de um shell interativo
- gerenciamento de janelas na tela e listagens/encerramento de processos
- enumerando conexões de rede ativas
- listando aplicativos instalados e desinstalando softwares selecionados
- lendo valores de registro de execução automática e enumerando entradas de execução automática
- atuando como um proxy SOCKS5 para rotear o tráfego e potencialmente contornar firewalls ou VPNs
- instalar e implantar ferramentas de gerenciamento remoto, como Sunlogin e GotoHTTP
- mecanismos de persistência e um amplo conjunto de comandos para invocar plugins e funções operacionais
O kkRAT também contém a funcionalidade clipper que substitui endereços copiados de carteiras de criptomoedas e rotinas para limpar dados de uma variedade de navegadores e aplicativos de mensagens (exemplos observados: 360 Speed Browser, Google Chrome, Internet Explorer, Mozilla Firefox, QQ Browser, Sogou Explorer e Telegram).
RESUMO — POR QUE A CAMPANHA DE ATAQUE É SIGNIFICATIVA
Esta campanha destaca-se por combinar: distribuição de engenharia social por meio de páginas do GitHub aparentemente legítimas; técnicas avançadas de antianálise e anti-AV (detecção de sandbox/VM, BYOVD usando código RealBlindingEDR); um carregador multiestágio que utiliza sideload de DLL e contêineres de payload criptografados; e um RAT completo (kkRAT) que suporta tanto roubo de informações (sequestro de área de transferência, captura de tela, exfiltração de dados) quanto ferramentas operacionais (ferramentas de gerenciamento remoto, proxy). A arquitetura modular permite a troca do payload final, aumentando a flexibilidade para os operadores e complicando a detecção e a atribuição.
