Loda RAT
O Loda RAT é um RAT (Trojan de Acesso Remoto) que está em operação há três anos quando os analistas de malware o identificaram pela primeira vez em 2017. O Loda RAT é um RAT bastante simples, mas isso não significa que não pode fazer o trabalho. Este Trojan é escrito na linguagem de programação AutoIT, o que é bastante incomum. Depois que o Loda RAT compromete um sistema, ele é capaz de executar uma lista bastante longa de tarefas.
O Loda RAT parece ter como alvo usuários nos Estados Unidos, América Central e América do Sul, principalmente. Os criadores do Loda RAT estão propagando-o por e-mails falsos que direcionam os usuários a um link que lança uma página falsa que pertence aos atacantes. Esta página hospeda vários documentos com macros, projetados para atingir uma vulnerabilidade conhecida - CVE-2017-11882. Ao infectar o computador de destino, o Loda RAT estabeleceria uma conexão com o servidor C&C (Command & Control) de seus operadores.
Recursos
Uma vez que o Loda RAT se conecte ao servidor C&C com êxito, ele aguardará comandos dos atacantes. O Loda RAT pode coletar informações como senhas e credenciais de login. Além de coletar credenciais de login, o Loda RAT também pode:
- Fazer capturas de tela da área de trabalho do usuário e das janelas ativas.
- Iniciar um keylogger que coletará pressionamentos de tecla.
- Usar o microfone da vítima para gravar áudio.
Recentemente, os criadores do Loda RAT atualizaram esse Trojan para incluir vários recursos de autopreservação. O código Loda RAT foi ofuscado para evitar a detecção por ferramentas anti-malware. A ofuscação do código também dificulta o estudo da ameaça pelos pesquisadores de segurança cibernética. O Loda RAT também pode verificar os processos em execução no sistema comprometido e detectar se há um aplicativo antivírus em execução. O Loda RAT ganha persistência no computador comprometido usando dois truques comuns:
- Ele usa o Agendador de tarefas do Windows para garantir que seus componentes iniciem no Windows.
- Ele insere uma nova chave de registro automática do Windows que comanda o Windows para executar o Loda RAT no lançamento.
Apesar de o Loda RAT ser um Trojan bastante simples, ele é totalmente capaz de causar muitos danos ao PC comprometido. Se você deseja manter seu sistema protegido contra ameaças como o Loda RAT, recomendamos que você considere investir em um conjunto de software antivírus respeitável.