Introdução
Pesquisadores de segurança detalharam métodos para extrair configurações cifradas de variantes do QuasarRAT, um RAT .NET que evoluiu de uma ferramenta legítima para um instrumento recorrente em campanhas maliciosas.
Descoberta e escopo / O que mudou agora
Relatório publicado pela Cyber Security News, com referência a análises da Sekoia, descreve amostras recentes de QuasarRAT que usam ofuscação pesada e configuração criptografada. Embora o projeto exista desde 2014 (como xRAT) e seu código-fonte esteja disponível publicamente, variantes maliciosas têm introduzido mecanismos para esconder pontos de comando e controle (C2) e outros parâmetros críticos.
Vetor e exploração / Mitigações
Os pesquisadores explicam que as variantes analisadas utilizam AES-256 em modo CBC para proteger strings de configuração. A chave de desencriptação frequentemente é derivada via PBKDF2 com um salt codificado no binário (classe Aes256). Em amostras fortemente ofuscadas, a rotina de desencriptação é identificada por contagem de chamadas de método dentro da classe de Settings.
Para recuperar a configuração sem executar o binário, analistas combinam ferramentas Python e bibliotecas .NET como dnlib para inspecionar o Intermediate Language (IL). O processo descrito envolve localizar o construtor estático (.cctor) onde material criptográfico é inicializado e procurar opcodes como ldstr e stsfld para extrair strings codificadas.
Impacto e alcance / Setores afetados
QuasarRAT é um agente leve em C# sobre .NET e inclui funcionalidades que permitem extração de informações do sistema, gerenciamento de arquivos, registro de teclas e execução de comandos arbitrários — capacidades que suportam persistência e movimento lateral. Sua disponibilidade de código facilita recompilações customizadas por atores que visam desde fraudes financeiras até espionagem.
- Risco técnico: evasão de detecções básicas por ofuscação e cifragem de configuração.
- Alcance tático: ferramenta reutilizável e modificável que pode ser inserida em cadeias de ataque diversas.
Limites das informações / O que falta saber
As publicações consultadas descrevem as técnicas de extração e decifração, mas não apresentam métricas públicas sobre escala de infecções atuais ou vítimas identificadas. Não há indicação nos relatórios usados de correlações com campanhas específicas identificadas por atribuição confiável.
Recomendações práticas
- Inspecionar binários .NET suspeitos em ambiente controlado usando ferramentas de descompilação e análise IL (por exemplo dnlib) para detectar strings e construtores estáticos que inicializem chaves.
- Aplicar detecção baseada em comportamento para atividades típicas de RATs (execução remota, exfiltração, keylogging) em vez de confiar apenas em assinaturas estáticas.
- Reforçar políticas de integridade de código e monitoramento de comunicações de saída para identificar C2s recuperados por análise de configuração.
Repercussão / Próximos passos
O método descrito reduz a eficácia de ofuscações simples ao permitir a recuperação de material criptográfico e strings de configuração sem execução. Equipes de resposta a incidentes e laboratórios de inteligência de ameaça podem incorporar esses procedimentos nas rotinas de reverse engineering para acelerar descoberta de indicadores de compromisso (IoCs).
Fonte: Cyber Security News (com referência a Sekoia).