Uma nova campanha de malware identificada está levantando sérias preocupações em toda a comunidade de cibersegurança ao entregar duas ameaças muito diferentes ao mesmo tempo. Os atacantes estão usando um único carregador ofuscado para empurrar tanto o Gh0st Remote Access Trojan (RAT) quanto o adware CloverPlus para a mesma máquina vítima, dando a eles tanto controle de longo prazo sobre o sistema quanto uma maneira imediata de lucrar com o ataque.
Estratégia de payload duplo
Esta combinação é incomum, mas estratégica. O Gh0st RAT é uma ferramenta bem conhecida que dá aos atacantes controle total sobre um sistema comprometido, enquanto o adware CloverPlus é projetado para alterar o comportamento do navegador, instalar componentes de publicidade indesejados e gerar anúncios pop-up para ganho financeiro. Juntos, as duas ameaças permitem que o atacante mantenha um backdoor para acesso contínuo enquanto também monetiza a máquina infectada em tempo real.
A campanha representa uma mudança clara em direção a estratégias de entrega de múltiplos payloads que maximizam o retorno de uma única infecção. Pesquisadores da Splunk Threat Research Team (STRT) identificaram este carregador específico após observar seu comportamento em hosts comprometidos. A equipe notou que o carregador usa técnicas de ofuscação para esconder ambos os payloads criptografados dentro de sua seção de recursos, tornando mais difícil para ferramentas de segurança tradicionais detectá-lo.
Análise técnica do carregador
O carregador no centro desta campanha é construído para ser furtivo desde o início. Ele esconde dois payloads criptografados dentro de sua seção de recursos, e o primeiro a ser liberado é o módulo de adware CloverPlus, identificado como AdWare.Win32.CloverPlus. Este componente está ligado a um executável chamado wiseman.exe e é responsável por modificar páginas de inicialização do navegador e injetar anúncios pop-up.
Uma vez que o adware é tratado, o carregador verifica se seu próprio caminho de arquivo está localizado na pasta %temp% do sistema. Se não estiver, ele deixa uma cópia de si mesmo lá antes de passar para a próxima etapa: decifrar o módulo cliente Gh0st RAT, que é armazenado como um recurso criptografado na seção RSRC do binário do malware.
Após a decifração, o malware gera um nome de arquivo aleatório e salva o DLL decodificado em uma pasta com nome aleatório na raiz da unidade C:\. O DLL decifrado é então lançado usando o aplicativo legítimo do Windows rundll32.exe. Esta técnica permite que o malware execute código sob um processo de sistema confiável, reduzindo a chance de acionar alertas de segurança padrão.
Métodos de persistência
Uma vez ativo, o Gh0st RAT começa a coletar informações do sistema, incluindo o endereço MAC da máquina e o número de série do disco rígido, para identificar unicamente o host infectado dentro da infraestrutura de comando e controle (C2) do atacante. Para permanecer no sistema após uma reinicialização, o Gh0st RAT usa múltiplos métodos de persistência.
Ele escreve a si mesmo na chave de registro Windows Run e também registra um DLL malicioso como parte do serviço de Acesso Remoto do Windows sob SYSTEM\CurrentControlSet\Services\RemoteAccess\RouterManagers\Ip. Isso dá a ele privilégios de nível SYSTEM toda vez que o serviço é iniciado, sem exigir qualquer ação do usuário.
Mapeamento MITRE ATT&CK
A equipe de pesquisa mapeou o comportamento completo do malware contra o framework MITRE ATT&CK para documentar cada tática e técnica usada durante a execução. As técnicas incluem T1134 (Acesso à Interface do Usuário), T1033 (Acesso ao Sistema), T1070.004 (Limpeza de Arquivos), T1547.001 (Registro Run Keys), T1021 (Acesso Remoto), T1543.003 (Criação de Serviço), T1056.001 (Captura de Teclas) e T1071.004 (Protocolo de Aplicação).
Recomendações de detecção
As equipes de segurança devem monitorar o rundll32.exe carregando extensões de arquivo não padrão de diretórios incomuns. As ferramentas de endpoint devem sinalizar qualquer execução de processo originada da pasta %temp%. Modificações de registro nas chaves Run e caminhos de serviço RemoteAccess devem acionar alertas imediatos. As organizações também devem observar atrasos de execução baseados em ping, que este malware usa para evadir análise de sandbox.
Tráfego DNS anômalo e alterações inesperadas no arquivo hosts do sistema também podem indicar uma infecção ativa de Gh0st RAT. Manter as regras de detecção de endpoint atualizadas e alinhadas com as técnicas MITRE ATT&CK mencionadas é fortemente recomendado. O impacto desta campanha é significativo tanto para indivíduos quanto para organizações, pois o componente de adware pode interromper a funcionalidade do navegador e expor os usuários a anúncios maliciosos, enquanto o payload RAT pode roubar dados sensíveis, capturar digitações e dar acesso persistente e privilegiado ao sistema infectado.