Sisfader RAT

O Sisfader RAT (Trojan de Acesso Remoto) é uma ameaça que os analistas de malware detectaram pela primeira vez em abril de 2018. Parece que os autores do Sisfader RAT estão propagando esse Trojan com a ajuda de documentos RTF corrompidos, capazes de explorar o CVE-2017-8570 vulnerabilidade nos sistemas de destino. Os documentos RTF corrompidos em questão conteriam a carga útil do Sisfader RAT. O RAT do Sisfader possui todos os recursos de um RAT comum, com alguns recursos extras espalhados por cima. Alguns dos recursos extras do RAT Sisfader parecem bastante atípicos para uma ameaça desse tipo.

Em 2018, os criadores do Sisfader RAT estavam propagando a ameaça por email de phishing. O usuário de destino receberia um email que contém um documento RTF como um arquivo anexado. O documento parecia ser de importância urgente, o que aumentou as chances de o usuário analisá-lo assim que receber o email. Os atacantes haviam escrito o documento inteiramente em russo. Enquanto o usuário estiver lendo o documento para o qual foram enviados, o Sisfader RAT será executado e começará a ser executado em segundo plano. Dessa forma, a vítima pode nem perceber que seu sistema foi comprometido.

O RAT do Sisfader pode atrasar o seu início como um método para evitar ambientes de depuração de malware. O Sisfader RAT garante que ele seja executado apenas quando o usuário iniciar o serviço Microsoft Word. Isso é feito soltando um arquivo no diretório 'STARTUP' do Microsoft Word. É isso que é considerado um início tardio e mostra que os invasores sabem como dificultar o trabalho dos analistas de malware. O Sisfader RAT também ganhará persistência no computador infectado, violando o Registro do Windows do sistema.

Depois que o Sisfader RAT estabelecer uma conexão com o servidor de C&C (Comando e Controle) de seus operadores e estiver em execução no PC comprometido conforme o esperado, ele será capaz de:

  • Buscar arquivos do servidor C&C e plantá-los no sistema infectado.
  • Coletar arquivos do sistema infectado e transferí-los para o servidor C&C.
  • Deletar arquivos.
  • Procurar arquivos específicos em determinados diretórios.
  • Coletar dados sobre o software e o hardware do sistema.
  • Iniciar processos no sistema infectado.
  • Aplicar atualizações a si próprio.

Os criadores do Sisfader RAT não disponibilizaram publicamente essa ferramenta de hackers, o que provavelmente é o motivo pelo qual ela não está muito ativa desde que foi vista pela primeira vez em 2018. Verifique se o computador e os dados estão protegidos por um aplicativo antivírus respeitável.

Tendendo

Mais visto

Carregando...