Descoberta e escopo da ameaça
Uma backdoor recém-descoberta chamada BLUERABBIT foi encontrada atacando sistemas Windows com uma mistura perigosa de criptografia de arquivos, limpeza de disco e roubo de dados. Observada pela primeira vez em meados e final de março de 2026, o malware é acreditado ser obra de um ator de ameaças com ligações ao Irã, e seus alvos principais parecem ser organizações baseadas em Israel.
A ferramenta é escrita na linguagem de programação Go e foi construída para se misturar à atividade de rede normal, tornando-a mais difícil para defensores detectarem. O que torna o BLUERABBIT especialmente alarmante é o quão completo é seu kit de ferramentas. Ele não apenas bloqueia arquivos ou rouba dados. Ele pode fazer ambos ao mesmo tempo, e quando os operadores escolhem, pode destruir permanentemente todos os drives em uma máquina comprometida.
Análise técnica detalhada
O BLUERABBIT disfarça seu tráfego de comando e controle para parecer software de mensagens de negócios rotineiro. Em vez de se comunicar sobre protocolos web padrão, ele roteia instruções do operador através do RabbitMQ, um sistema de mensagens empresarial amplamente utilizado. Essa escolha de design faz com que seu tráfego de rede pareça legítimo, especialmente em ambientes onde ferramentas semelhantes já são implantadas como parte das operações normais.
O malware armazena resultados de tarefas usando Redis e envia arquivos roubados para armazenamento em nuvem controlado pelo atacante através do MinIO, uma plataforma de código aberto compatível com armazenamento Amazon S3. Juntos, esses três canais dão aos atacantes uma infraestrutura tranquila e comercial que muitas ferramentas de segurança tradicionais não sinalizarão como atividade suspeita.
Capacidades destrutivas
Uma vez que o BLUERABBIT é executado, ele verifica uma chave de registro do Windows para ver se foi executado antes. Se for a primeira execução, ele cria uma tarefa agendada chamada "OneDrive Update", impersonando um serviço real da Microsoft para permanecer oculto. Essa tarefa reinicia a cada 60 segundos e sobrevive a reinicializações, significando que simplesmente fechar o processo não o removerá de um sistema.
O malware dá aos operadores várias opções destrutivas. Ele pode criptografar arquivos em todos os drives de um sistema usando uma extensão ".candy" e substituir o papel de parede da área de trabalho com uma imagem de alerta gerada por IA. Dois módulos de limpeza de disco separados também estão disponíveis: um sobrescreve drives com dados aleatórios em uma única passagem, enquanto o outro camadas zeros, dados aleatórios e valores 0xFF em todos os drives, deixando nenhum caminho para recuperação.
Oportunidades de detecção
Defensores têm vários sinais confiáveis para observar. O BLUERABBIT estagia arquivos em pastas que parecem GUIDs do Windows, mas incluem letras além de A até F. GUIDs reais do Windows usam apenas caracteres hexadecimais, então qualquer pasta contendo caracteres como G até Z nesse formato é anômala e vale a pena investigar imediatamente.
Traffico AMQP incomum de estações de trabalho de endpoint é outro sinal de alerta forte, já que este protocolo não é típico para dispositivos do dia a dia. Equipes de segurança também devem observar o cliente MinIO sendo lançado por processos pai inesperados, pois isso sugere fortemente que a exfiltração de dados automatizada já está em andamento.
Recomendações para CISOs
Qualquer processo executando takeown ou icacls em arquivos de inicialização críticos fora de uma janela de manutenção agendada deve disparar um alerta imediato. O roubo de dados antes da criptografia segue um modelo de extorsão dupla, significando que as vítimas podem já ter perdido informações sensíveis antes de perceberem que foram alvo.
A caça proativa para indicadores de estágio inicial é a postura de defesa mais eficaz que as equipes podem adotar agora. Monitorar logs de sistema, tráfego de rede e comportamento de processos é essencial para detectar a presença do BLUERABBIT antes que a destruição de dados ocorra.
Perguntas frequentes
Qual a origem do malware?
Acredita-se que seja de um ator de ameaças com ligações ao Irã.
Qual a linguagem de programação?
O malware é escrito em Go.
Como detectar?
Monitore pastas com GUIDs inválidos, tráfego AMQP e processos MinIO inesperados.