Cotação de desconto para licenças múltiplas
Banco de Dados de Ameaças Malware Malware ZynorRAT

Malware ZynorRAT

Por Mezo em Malware, Ferramentas de Administração Remota
Traduzir Para:

Pesquisadores de segurança cibernética identificaram uma nova família de malware, composta por um trojan de acesso remoto (RAT) compilado em Go, denominado ZynorRAT. O implante tem como alvo hosts Linux e Windows, é gerenciado por um bot do Telegram e — com base nas evidências disponíveis — apareceu pela primeira vez em 8 de julho de 2025. Analistas relatam que não há sobreposição de código ou comportamento com famílias catalogadas anteriormente, sugerindo uma nova implementação em vez de uma variante de um conjunto de ferramentas existente.

Perfil técnico — notas sobre linguagem, construção e plataforma cruzada

O ZynorRAT é implementado em Go, o que permite que uma única base de código produza binários para múltiplos sistemas operacionais. A versão para Linux é rica em recursos e expõe um amplo conjunto de funcionalidades para reconhecimento, coleta de dados e controle remoto. Uma versão para Windows também foi observada e parece funcionalmente semelhante à versão para Linux; no entanto, ela ainda utiliza técnicas de persistência no estilo Linux (serviços systemd), o que implica que o artefato para Windows pode estar incompleto ou em desenvolvimento ativo.

Capacidades — o que o malware pode fazer

A principal missão do malware é a coleta, exfiltração e acesso remoto, com Comando e Controle (C2) gerenciado por um bot do Telegram (identificado como @lraterrorsbot, também conhecido como "lrat"). Uma vez implantado, o ZynorRAT recebe instruções adicionais desse bot e executa tarefas localmente no host da vítima. Os principais recursos do Linux incluem navegação e exfiltração de arquivos, criação de perfil do sistema, listagem e encerramento de processos, captura de tela, execução de comandos arbitrários e persistência via systemd.

Pontos finais de comando observados (conforme implementado na compilação do Linux):

  • /fs_list — enumera diretórios
  • /fs_get — exfiltra arquivos do host
  • /metrics — executar criação de perfil do sistema
  • /proc_list — executa o equivalente a ps para listar processos
  • /proc_kill — mata um processo por PID
  • /capture_display — tira capturas de tela da tela
  • /persist — estabelece persistência (serviço systemd)

Comando e controle e distribuição — como o operador o executa e o distribui

O Telegram é o canal C2 do ZynorRAT: o malware se conecta ao bot @lraterrorsbot e recebe comandos por meio dele. Capturas de tela e outros artefatos compartilhados pelo bot do Telegram mostram payloads sendo distribuídos por meio de um serviço de compartilhamento de arquivos chamado Dosya.co. A análise dessas capturas de tela indica que o autor pode ter usado máquinas que controla para testar ou validar funcionalidades (autoinfecção). Usar uma plataforma de mensagens públicas como o Telegram como C2 proporciona facilidade de uso para o operador e algum nível de flexibilidade operacional, mas também cria indicadores claros (identificador do bot, tráfego incomum do Telegram) que os defensores podem rastrear.

Atribuição e cronograma — o que podemos razoavelmente inferir

As evidências apontam para o início da atividade em 8 de julho de 2025. Artefatos linguísticos nos chats do bot e em outros textos recuperados sugerem que o operador pode ser turco ou, pelo menos, usar recursos em turco, e a análise atual favorece um único ator, provavelmente solitário, em vez de um esforço de desenvolvimento em grupo. Dito isso, a atribuição a uma pessoa ou nação deve permanecer cautelosa, aguardando novas corroborações.

Por que isso é importante — novidades e tendências de desenvolvimento de malware

Embora RATs sejam comuns, o ZynorRAT se destaca por ser uma implementação de sala limpa (sem sobreposições com famílias conhecidas) que implementa controles automatizados e centralizados via Telegram. Suas ambições multiplataforma e o uso de Go destacam a tendência de operadoras relativamente pequenas produzirem rapidamente ferramentas multi-SO capazes. A sofisticação inicial demonstra a rapidez com que novos RATs podem surgir e ser implementados.

Avaliação final

O ZynorRAT representa um exemplo contemporâneo de um RAT leve, porém eficiente, desenvolvido para implantação multiplataforma e gerenciado por meio de um serviço de mensagens pronto para uso. Sua descoberta ressalta que mesmo operadores individuais podem produzir ferramentas flexíveis de acesso remoto rapidamente usando linguagens modernas como Go. As organizações devem tratar o C2 baseado em Telegram e o uso inesperado de serviços de compartilhamento de arquivos do consumidor como itens de busca de alta prioridade, reforçar a criação de serviços em endpoints e aplicar as mitigações listadas acima para reduzir a exposição.

Tendendo

Mais visto

Carregando...