Malware ShellClient

Os pesquisadores de Infosec descobriram um novo malware de espionagem que faz parte do kit de ferramentas de um agente de ameaça não revelado anteriormente. Chamado ShellClient, a ameaça é um Trojan de Acesso rRmoto (RAT) que parece ser implantado apenas em operações de espionagem cibernética altamente direcionadas.

Novo Autor de Ameaças

O malware ShellClient está sendo atribuído a um grupo de crimes cibernéticos separado que está sendo rastreado como MalKamak. Acredita-se que os hackers sejam responsáveis por uma série de ataques de reconhecimento direcionados contra alvos de uma grande variedade de países, incluindo os EUA, Rússia, membros da UE e países do Oriente Médio. O objetivo dos hackers parece ser a aquisição de informações altamente confidenciais de um punhado de alvos especificamente escolhidos. Certas sobreposições de código, convenções de nomenclatura e técnicas empregadas apontam para que MalKamak seja um grupo de ciber-crime de estado-nação com conexões com o Irã.

Funcionalidade e Evolução Ameaçadoras

O malware ShellClient foi projetado para ser especialmente furtivo, garantindo uma presença prolongada nas máquinas comprometidas. A ameaça se disfarça como 'RuntimeBroker.exe.' O processo legítimo é responsável pelo gerenciamento de permissões para aplicativos da Microsoft Store.

As primeiras versões do malware datam de 2018, mas, naquela época, o ShellClient era uma ameaça muito diferente - apenas um shell reverso autônomo simples. Nos anos seguintes, os hackers do MalKamak lançaram várias versões do malware, transformando-o cada vez mais em um RAT completo a cada um subsequente. Por exemplo, a iteração 4.0 incluiu melhor ofuscação de código, o uso do empacotador Costura, a remoção do domínio C2 usado desde 2018 e a adição de um cliente Dropbox. Se o desenvolvimento da ameaça atingiu um ponto final, resta ver.