Cotação de desconto para licenças múltiplas
Banco de Dados de Ameaças Malware RTX RAT

RTX RAT

Por Mezo em Malware, Ferramentas de Administração Remota
Traduzir Para:

Um incidente de segurança envolvendo a CPUID expôs usuários a software malicioso por meio de seu site oficial, cpuid.com. Por um período de menos de 24 horas, agentes maliciosos manipularam com sucesso links de download para distribuir versões infectadas de ferramentas de monitoramento de hardware amplamente utilizadas.

A violação ocorreu entre as 15h UTC do dia 9 de abril e as 10h UTC do dia 10 de abril, período em que links legítimos de instalação foram intermitentemente substituídos por redirecionamentos maliciosos. É importante ressaltar que a CPUID confirmou que seus binários assinados originais permaneceram intactos, visto que a brecha teve origem em um recurso secundário, essencialmente uma API auxiliar, que fazia com que o site exibisse links prejudiciais aleatoriamente, em vez de alterar o software principal em si.

Infraestrutura Maliciosa: Domínios Não Autorizados por Trás do Ataque

Investigações realizadas por pesquisadores de segurança cibernética identificaram diversos domínios usados para hospedar e distribuir os arquivos maliciosos infectados. Esses sites fraudulentos desempenharam um papel fundamental no redirecionamento de usuários desavisados para downloads comprometidos.

  • cahayailmukreatif.web[.]id
  • pub-45c2577dbd174292a02137c18e7b1b5a.r2[.]dev
  • transitopalermo[.]com
  • Vatrobran[.]hr

Esses domínios faziam parte de uma infraestrutura mais ampla, projetada para dar suporte à distribuição de malware e a operações de comando e controle.

Mecanismo de distribuição furtivo: abuso de carregamento lateral de DLLs

Os atacantes empregaram uma técnica de evasão bem conhecida chamada carregamento lateral de DLL. Os pacotes maliciosos foram distribuídos tanto como arquivos ZIP quanto como instaladores independentes, cada um contendo dois componentes: um executável legítimo e assinado e uma biblioteca de vínculo dinâmico maliciosa chamada 'CRYPTBASE.dll'.

Ao explorar a confiança depositada em binários assinados, a DLL maliciosa foi carregada durante a execução, permitindo uma invasão secreta. Antes de iniciar outras ações, o malware realizou verificações anti-sandbox para evitar a detecção em ambientes de análise. Após a aprovação nessas verificações, ele contatou um servidor externo para obter payloads adicionais.

Implantação do STX RAT: Uma ferramenta versátil de pós-exploração

O objetivo final da campanha era implantar o STX RAT, um poderoso trojan de acesso remoto equipado com recursos ocultos de computação em rede virtual (HVNC) e ampla funcionalidade de roubo de dados.

Este malware permite que os atacantes mantenham controle persistente sobre os sistemas infectados e executem uma ampla gama de atividades pós-exploração, incluindo:

  • Execução em memória de arquivos EXE, DLL, scripts do PowerShell e shellcode.
  • Proxy reverso e tunelamento de rede
  • Interação e vigilância remota de desktops

Essas capacidades tornam o STX RAT particularmente perigoso tanto em ambientes individuais quanto corporativos.

Sobreposição de campanhas: ligações com ataques anteriores ao FileZilla

A análise revelou que a infraestrutura de Comando e Controle (C2) utilizada neste incidente já havia sido associada a uma campanha separada envolvendo instaladores trojanizados do FileZilla. A reutilização das mesmas configurações de servidor e domínios de comunicação indica fortemente uma sobreposição operacional entre as duas campanhas.

Essa repetição de táticas, técnicas e infraestrutura forneceu indicadores valiosos para detecção e atribuição.

Operação de Longo Prazo: Um Cronograma de Campanha de 10 Meses

Investigações adicionais sugerem que a violação da CPUID faz parte de uma campanha mais ampla que começou em julho de 2025. A amostra de malware mais antiga conhecida, identificada como 'superbad.exe', foi observada se comunicando com um servidor de comando e controle no endereço 95.216.51.236.

Especialistas em segurança avaliam que o agente da ameaça provavelmente fala russo e pode ter motivação financeira ou estar atuando como um intermediário de acesso inicial, uma entidade especializada em obter acesso a sistemas e vender esse acesso a outros cibercriminosos.

Avaliação de impacto: alcance global com vítimas diversas

O ataque afetou mais de 150 vítimas confirmadas, predominantemente usuários individuais. No entanto, organizações de diversos setores também sofreram comprometimento, incluindo os setores de varejo, manufatura, consultoria, telecomunicações e agricultura.

Geograficamente, a maioria das infecções foi identificada no Brasil, na Rússia e na China, indicando uma estratégia de direcionamento ampla e oportunista.

Fraquezas operacionais: erros que levaram à detecção

Apesar da escala da campanha, diversas falhas de segurança operacional comprometeram significativamente a eficácia dos atacantes. A reutilização de cadeias de infecção idênticas, payloads do STX RAT e domínios de comando e controle de campanhas anteriores facilitou o rastreamento e a correlação da atividade.

Essas deficiências sugerem uma sofisticação relativamente baixa nas práticas de desenvolvimento e implantação de malware. Como resultado, os defensores conseguiram detectar o ataque de watering hole rapidamente após seu início, limitando seu impacto geral e o período de exposição.


Tendendo

Golpe de e-mail que exige verificação de segurança

Phishing, Spam
Manter a cautela ao lidar com e-mails inesperados é essencial para a segurança online. Criminosos cibernéticos frequentemente disfarçam mensagens maliciosas como comunicações legítimas para explorar a confiança e a urgência. O chamado golpe do e-mail "Verificação de Segurança Necessária" é um excelente exemplo dessa tática. Esses e-mails não estão associados a nenhuma empresa, organização ou...

Mais visto

Carregando...