Uma nova e perigosa peça de malware surgiu no cenário de ameaças, projetada para permanecer oculta, ativa e no controle de qualquer sistema que infecte. O CrySome RAT é escrito em C# e visa o ecossistema .NET, dando aos atacantes controle remoto completo sobre máquinas Windows comprometidas. O que torna o CrySome distinto de outros trojans de acesso remoto é sua capacidade de sobreviver mesmo a uma restauração de fábrica completa.
O que é o CrySome RAT
O CrySome é projetado para acesso de longo prazo e controle profundo do sistema sobre um canal de comando e controle baseado em TCP persistente. Ele rouba senhas, grava digitação e lança sessões de desktop invisíveis. A análise estática e dinâmica do código descompilado pelos analistas da Cyfirma revelou uma arquitetura modular, onde uma fase de bootstrap carrega configurações e ativa capacidades específicas com base nas instruções do operador.
Persistência avançada na partição de recuperação
O malware copia-se para a partição de recuperação do Windows localizada em C:\Recovery\OEM e modifica o registro offline para acionar a execução após uma restauração do sistema. Isso significa que, mesmo quando a vítima acredita que sua máquina foi completamente limpa, o malware relança silenciosamente. Esse nível de engenharia de persistência é raramente visto e coloca o CrySome em uma categoria mais séria de ameaças em comparação com RATs típicos circulando no mundo.
Módulo AVKiller e evasão de antivírus
O malware carrega um kit de evasão de defesa agressivo através de seu módulo AVKiller. Este componente termina processos de antivírus, desativa serviços de segurança, bloqueia tentativas de instalação de antivírus, envenena o arquivo hosts do sistema para cortar servidores de atualização de AV e usa sequestro de Opções de Execução de Arquivo de Imagem para impedir que ferramentas de segurança sejam lançadas. Produtos de segurança principais, incluindo Windows Defender, Kaspersky, CrowdStrike, ESET, Avast e SentinelOne, são especificamente visados.
Controle invisível com HVNC
A ameaça vai ainda mais longe através de seu módulo de Computação Virtual de Rede Oculta (HVNC), que permite aos atacantes interagir com a máquina da vítima por meio de uma sessão de desktop completamente invisível. Isso significa que um atacante pode abrir navegadores, acessar arquivos e navegar pelo sistema sem que o usuário veja qualquer atividade na tela. Combinado com keylogging, coleta de credenciais de navegadores baseados em Chromium, acesso à webcam, captura de tela e suporte a proxy SOCKS para movimento lateral, o CrySome funciona mais como um framework de pós-exploração completo do que uma simples ferramenta de acesso remoto.
Mitigação e resposta a incidentes
Equipes de segurança e administradores de sistema devem seguir os seguintes passos em resposta a essa ameaça. Qualquer sistema mostrando indicadores ligados ao CrySome RAT deve ser isolado imediatamente para impedir o movimento lateral. Ferramentas de detecção e resposta de endpoint capazes de capturar injeção de processo, alterações de registro e abuso de serviço devem ser implantadas em todos os ambientes. Tarefas agendadas, serviços do Windows e chaves de registro Run/RunOnce devem ser verificadas regularmente. O domínio crysome[.]net e qualquer infraestrutura relacionada devem ser bloqueados no nível de rede.
Conclusão e recomendações práticas
A proteção contra o CrySome exige uma abordagem em camadas, incluindo a verificação de partições de recuperação e hives de registro offline durante qualquer esforço de remediação. Políticas de controle de aplicação devem ser aplicadas para impedir a execução de binários desconhecidos ou não assinados. Backups offline e imagens de sistema verificadas devem ser mantidas para suportar a recuperação completa quando necessário. A ativação da proteção contra adulteração é crucial para impedir que scripts ou alterações de política desabilitem ferramentas de segurança.