Cotação de desconto para licenças múltiplas
Banco de Dados de Ameaças Backdoors Malware RokRAT

Malware RokRAT

Por Mezo em Backdoors, Ameaça Persistente Avançada (APT)
Traduzir Para:

O grupo de ameaças norte-coreano APT37 (também conhecido como ScarCruft) foi associado a uma sofisticada campanha cibernética de múltiplas etapas que utiliza engenharia social por meio do Facebook. Os atacantes iniciam o contato enviando solicitações de amizade, construindo gradualmente a confiança antes de transformar a interação em um canal de distribuição de malware. Essa manipulação calculada permite, em última instância, a implantação do trojan de acesso remoto RokRAT.

Arma de Escolha: A Evolução do RokRAT

O RokRAT continua sendo o principal malware usado pelo grupo e evoluiu significativamente ao longo do tempo, com adaptações para plataformas como macOS e Android. Seu desenvolvimento contínuo destaca o investimento operacional constante.

O malware é capaz de executar um amplo espectro de atividades maliciosas, incluindo:

  • Coleta de credenciais e exfiltração de dados sensíveis
  • Captura de tela e reconhecimento do sistema
  • Execução de comandos e shellcode
  • Manipulação de arquivos e diretórios

Para ocultar suas operações, as variantes anteriores armazenavam os dados roubados em arquivos MP3. Além disso, o RokRAT disfarça suas comunicações de comando e controle (C2) roteando dados por meio de plataformas de nuvem legítimas, como Dropbox, Microsoft OneDrive, pCloud e Yandex Cloud.

Confiança como vetor de ataque: manipulação nas redes sociais

A campanha começa com a criação de perfis falsos no Facebook, supostamente baseados em Pyongyang e Pyongsong. Essas contas são usadas para identificar e avaliar potenciais vítimas. Uma vez estabelecida a conexão, as conversas migram para o Messenger, onde tópicos cuidadosamente selecionados são introduzidos para aprofundar a confiança e o engajamento.

Uma tática crucial empregada é o pretexto, convencendo os alvos a instalarem um visualizador de PDF especializado sob a falsa premissa de que ele é necessário para acessar documentos militares criptografados. O aplicativo fornecido é uma versão modificada do Wondershare PDFelement, com shellcode malicioso incorporado. Após a execução, esse instalador inicia a invasão, concedendo aos atacantes acesso inicial ao sistema.

Engano em Camadas: Técnicas Avançadas de Entrega e Evasão

A cadeia de ataque demonstra um alto grau de sofisticação através da combinação de múltiplas estratégias de evasão:

  • Utilização de software legítimo infectado por um cavalo de Troia para contornar suspeitas
  • Exploração de infraestrutura web comprometida, porém confiável, para operações de comando e controle (C2).
  • Disfarçar cargas maliciosas como arquivos inofensivos, como imagens JPG.

Notavelmente, os atacantes exploraram um site comprometido, vinculado à filial de Seul de uma imobiliária japonesa, para distribuir comandos e payloads. O payload da segunda etapa aparece como um arquivo de imagem inócuo, ocultando a implantação final do RokRAT.

Execução em Múltiplas Etapas: Do Contato Social ao Compromisso Total

A sequência de ataque progride através de várias etapas coordenadas. Os agentes maliciosos criaram contas no Facebook com os nomes 'richardmichael0828' e 'johnsonsophia0414' em 10 de novembro de 2025. Após estabelecerem contato, a comunicação é redirecionada para o Telegram, onde as vítimas recebem um arquivo ZIP contendo o visualizador de PDF malicioso, documentos falsos e instruções de instalação.

A execução do instalador comprometido aciona um shellcode criptografado, que se conecta a um domínio C2 e recupera uma carga útil secundária disfarçada de arquivo de imagem JPG. Este arquivo, por fim, entrega o malware RokRAT completo.

Comando e controle baseados em nuvem: integrando-se ao tráfego legítimo.

O RokRAT aprimora ainda mais seu caráter furtivo ao explorar o Zoho WorkDrive como parte de sua infraestrutura de comando e controle (C2), um método também observado na campanha 'Ruby Jumper', identificada no início de 2026. Por meio dessa abordagem, o malware realiza funções como captura de tela, execução remota de comandos via shells do sistema, coleta de dados do host e evasão de segurança.

Foco estratégico: Estabilidade na função, inovação na execução.

Embora as principais capacidades do RokRAT tenham permanecido praticamente as mesmas em todas as operações, seus mecanismos de distribuição e táticas de evasão continuam a evoluir. Essa ênfase estratégica demonstra um foco deliberado no aprimoramento dos vetores de infecção e das técnicas de furtividade, em vez de alterar a funcionalidade fundamental do malware.

Postagens Relacionadas

Tendendo

Golpe de e-mail que exige verificação de segurança

Phishing, Spam
Manter a cautela ao lidar com e-mails inesperados é essencial para a segurança online. Criminosos cibernéticos frequentemente disfarçam mensagens maliciosas como comunicações legítimas para explorar a confiança e a urgência. O chamado golpe do e-mail "Verificação de Segurança Necessária" é um excelente exemplo dessa tática. Esses e-mails não estão associados a nenhuma empresa, organização ou...

Mais visto

Carregando...