Lime RAT

O LimeRAT é um Trojan de Acesso Remoto simples que, no entanto, oferece um vasto conjunto de funcionalidades nefastas para os agentes de ameaças. A ameaça é projetada para infectar os sistemas Windows e tem uma composição modular que pode ser ajustada para agir de acordo com as necessidades dos hackers. Ele pode estabelecer uma porta dos fundos na máquina comprometida e executar comandos arbitrários. Se instruído, o LimeRAT pode implantar cargas úteis do cripto-minerador ou iniciar uma rotina de criptografia que bloqueará os tipos de arquivo visados de maneira semelhante às ameaças de ransomware. Além disso, todos os sistemas infiltrados com sucesso podem ser adicionados a botnets.

Como se isso não bastasse, o LimeRAT também pode atuar como um bloqueio de tela ou um coletor de dados que coleta dados e arquivos privados e os exfiltra para o seu servidor de Comando e Controle (C2, C&C). Todas as informações carregadas serão primeiro criptografadas usando o algoritmo criptográfico AES. A ameaça de malware também pode detectar drives USB conectados ao sistema infectado e usá-los para se espalhar ainda mais.

O LimeRAT tem várias técnicas de prevenção de detecção e anti-virtualização à sua disposição. Ele pode verificar se há sinais de execução em uma máquina virtual (VM) e se desinstalar, se necessário.

Infecção por Meio de uma Antiga Técnica de Criptografia do Excel

O LimeRAT está sendo espalhado como documentos do Excel, somente para leitura, em uma campanha de ataque detectada recentemente. Os documentos Trojanizados são anexados a e-mails de phishing direcionados ao grupo-alvo selecionado. A decisão de usar documentos somente para leitura e não os bloqueados é deliberada. Arquivos somente para leitura não requerem uma senha para serem abertos e também podem ser empregados em uma técnica de exploração antiga do Excel. Quando tal arquivo for executado, o Excel tentará descriptografá-lo com uma senha padrão incorporada - 'VelvetSweatshop', ao mesmo tempo em que habilita macros incorporadas e permite que a carga corrompida inicie a sua cadeia de ataque. O uso desta técnica remonta a 2013 e o exploit recebeu a designação CVE-2012-0158. Embora o problema tenha sido resolvido há muito tempo, parece que os cibercriminosos estão mais uma vez voltando a ele na tentativa de infectar novas vítimas.