Campanha de malware usa downloads falsos do FileZilla para instalar RAT
Uma nova campanha de malware foi descoberta entregando um Trojan de Acesso Remoto (RAT) através de sites falsos que imitam a página oficial de download do FileZilla. Os atacantes projetaram esses sites fraudulentos para espelhar de perto a página real, enganando os usuários a baixarem arquivos de instalador maliciosos.
Mecanismo de infecção
O ataque combina uma cópia legítima do FileZilla com um arquivo DLL malicioso oculto, entregue através de um domínio falso construído para se assemelhar ao site oficial do FileZilla. Quando um usuário baixa e executa o pacote, a instalação normal prossegue sem problemas, enquanto o código malicioso oculto é executado silenciosamente em segundo plano.
Dois formatos de entrega distintos foram confirmados. No primeiro, o FileZilla 3.69.5 Portable foi distribuído dentro de um arquivo compactado contendo um DLL malicioso chamado version.dll. Ao extrair e executar o executável do FileZilla, o Windows carrega o DLL malicioso antes de qualquer biblioteca legítima, uma técnica chamada DLL sideloading que explora a ordem de carregamento padrão do DLL no Windows.
No segundo variante, o atacante empacotou tanto o instalador real do FileZilla quanto o DLL malicioso em um único arquivo executável. Durante a instalação, o DLL é silenciosamente descartado no diretório e carregado sempre que o FileZilla inicia. O payload final é um Trojan de Acesso Remoto totalmente funcional.
Capacidades do RAT
Uma vez ativo no sistema da vítima, o malware permite que os atacantes roubem credenciais armazenadas em navegadores da web, registrem cada tecla pressionada, capturem capturas de tela da área de trabalho em tempo real e controlem a máquina através de uma sessão de desktop virtual oculto usando HVNC (Hidden Virtual Network Computing). Essa funcionalidade de desktop oculto permite que os atacantes baixem mais malware e naveguem em sistemas internos sem que nenhuma atividade suspeita apareça na tela da vítima.
Evasão e arquitetura
Esta campanha é particularmente alarmante porque não explora nenhuma vulnerabilidade de software. Ela depende inteiramente de engenharia social — convencendo os usuários a executarem o que parece ser um download de software normal. Isso torna o gerenciamento tradicional de patches impotente contra a ameaça, deixando a conscientização do usuário e hábitos seguros de download como a principal defesa.
Uma vez que o DLL malicioso é carregado, ele não entrega o payload do RAT imediatamente. Em vez disso, lança uma cadeia de quatro estágios de carregamento sequenciais, onde cada estágio decifra e executa o próximo inteiramente na memória do sistema, sem escrever nenhum arquivo suspeito no disco. Esse design em camadas torna mais difícil para as ferramentas de segurança capturar o payload final, pois cada estágio existe apenas brevemente na memória e deixa quase nenhum rastro no sistema de arquivos.
Para comunicação de comando e controle, o malware usa DNS-over-HTTPS, enviando solicitações HTTPS criptografadas para o resolvedor público da Cloudflare em 1.1.1.1 para procurar o domínio C2 welcome.supp0v3.com. Isso esconde a consulta DNS maliciosa dentro do tráfego HTTPS comum, contornando filtros de porta-53 e ferramentas de monitoramento DNS.
Antes de implantar seu payload, o malware verifica o host infectado em busca de indicadores de máquina virtual e sandbox. Ele verifica detalhes do fabricante da BIOS, processos ativos, drivers carregados e valores de registro contra uma lista incorporada de assinaturas de ambiente virtual conhecidas. Quando qualquer marcador de sandbox é encontrado, o payload é retido, impedindo que o malware seja examinado em um ambiente controlado.
Os analistas da EST Security identificaram esta campanha após analisar amostras de malware de seu sistema de detecção de ameaças, confirmando-a como uma operação coordenada ativa impulsionada por um ator de ameaça específico.