Uma nova ameaça cibernética de alto nível foi identificada por pesquisadores de segurança, revelando um framework de Trojan de Acesso Remoto (RAT) chamado Auraboros C2. O caso ganhou destaque não apenas pelas capacidades avançadas do malware, mas também por evidências claras de sua origem e desenvolvimento no Brasil. O painel de comando e controle (C2) do malware foi encontrado operando de forma totalmente aberta, sem qualquer mecanismo de autenticação, permitindo que qualquer pessoa com acesso à rede pudesse visualizar dados de vítimas, streams de áudio em tempo real e credenciais roubadas.
Descoberta e escopo da ameaça
O framework Auraboros C2 foi identificado pela primeira vez por analistas da Breakglass Intelligence, após serem alertados por pesquisadores de segurança que flagraram o painel de controle ativo nas redes sociais. A análise técnica revelou que o painel está hospedado em um servidor da DigitalOcean, acessível via HTTP puro, sem necessidade de login, token ou qualquer forma de autenticação. Isso representa uma falha de segurança crítica na infraestrutura do atacante, expondo dados sensíveis de vítimas a qualquer pessoa que conheça o endereço IP e a porta do servidor.
O painel, que opera na porta 5000, utiliza um backend construído com Express.js e Socket.io. A interface é polida, com tema escuro e CSS personalizado, mas carece de controles de segurança básicos. O código-fonte completo do painel, com 84KB em JavaScript, foi facilmente baixado por qualquer visitante, revelando a arquitetura completa do framework. A análise confirmou que o framework é personalizado e não havia sido reportado em nenhum relatório anterior de inteligência de ameaças ou advisory de fornecedor.
Funcionalidades avançadas do malware
O Auraboros C2 possui um conjunto extenso de capacidades voltadas para sistemas Windows, projetadas para espionagem e roubo de dados. Entre as funcionalidades identificadas estão captura de tela, snapshots de webcam, roubo de área de transferência, keylogging em tempo real com intervalo de três segundos, extração de senhas Wi-Fi, navegação de arquivos, execução de comandos shell arbitrários, enumeração de processos, varredura ARP, varredura de portas e proxy SOCKS5 reverso na porta 1080.
Além disso, o malware inclui um motor dedicado de impersonação de cookies, que permite aos atacantes clonar sessões de usuários e realizar ataques de takeover de conta. O transporte Socket.io transmite todos os resultados de comandos em tempo real para todos os clientes conectados, sem isolamento de sessão, o que agrava o risco de vazamento de dados entre vítimas diferentes no mesmo painel.
Técnicas de entrega e persistência
Uma das características mais técnicas e significativas do Auraboros é a sua técnica de entrega e ocultação. Em vez de implantar um binário malicioso independente, o framework utiliza a técnica de DLL Sideloading. Um executável limpo e aparentemente legítimo, chamado DiskIntegrityScanner.exe, atua como processo hospedeiro. Quando este arquivo é executado, ele carrega uma DLL maliciosa que executa imediatamente uma rotina de coleta de dados, colhendo o nome do host, nome de usuário e nível de privilégio antes de se registrar no servidor C2.
Essa técnica permite que o implante se esconda atrás de um processo com aparência legítima na lista de tarefas do Windows, dificultando a detecção durante monitoramentos de rotina. O mecanismo de roubo de credenciais visa navegadores Brave e Chrome, utilizando a API de Proteção de Dados do Windows (DPAPI). O implante resolve o caminho do perfil AppData do navegador, localiza a chave mestra criptografada, a descriptografa usando a função CryptUnprotectData e copia o banco de dados SQLite de Login Data para consultar senhas armazenadas e cookies de sessão.
Exposição do painel C2 e riscos
O painel de comando e controle do Auraboros apresenta seis endpoints de API não autenticados que expõem listas de beacons, resultados de comandos, logs de eventos, feeds de keylogger em tempo real e credenciais de navegador roubadas. A falta de autenticação torna o painel acessível a qualquer pessoa na rede, transformando uma ferramenta de ataque direcionada em um recurso de acesso aberto. Isso não apenas compromete a privacidade das vítimas, mas também expõe a infraestrutura do atacante a investigações e takedown por parte de autoridades e pesquisadores de segurança.
Durante a investigação, foi encontrado um único beacon registrado, identificado como a própria máquina de teste do desenvolvedor. O beacon, com o nome de host DESKTOP-FVPFLD2 e nome de usuário LabCasa (palavra em português para "home lab"), estava executando o processo DiskIntegrityScanner.exe em um laptop Lenovo localizado em Goiânia, Brasil. O beacon estava offline há cinco dias no momento da descoberta, e a máquina de teste não mostrava senhas salvas, confirmando que era uma configuração de laboratório limpa usada durante o desenvolvimento.
Implicações para o Brasil e setor de segurança
A descoberta do Auraboros tem implicações diretas para o ecossistema de segurança cibernética no Brasil. A presença de um desenvolvedor de malware operando no país, utilizando a língua portuguesa e hospedando infraestrutura em serviços de nuvem globais, destaca a necessidade de maior vigilância sobre o desenvolvimento de ferramentas de ataque domésticas. O caso também reforça a importância de monitorar conexões de saída para IPs de provedores de nuvem conhecidos por serem usados em atividades maliciosas.
Para as organizações brasileiras, o Auraboros representa um risco significativo de espionagem corporativa e roubo de credenciais. A capacidade de roubo de cookies e senhas de navegadores permite que atacantes assumam contas de usuários sem necessidade de senhas adicionais, facilitando o acesso a sistemas críticos e dados sensíveis. A técnica de DLL Sideloading também é uma preocupação, pois pode ser usada para evadir soluções de antivírus tradicionais que focam em assinaturas de arquivos executáveis.
Medidas de mitigação recomendadas
Com base nas descobertas, as organizações e equipes de segurança devem tomar as seguintes ações imediatas:
- Bloqueio de IP: Bloquear o endereço IP 174.138.43[.]25 na perimeter de rede imediatamente.
- Hunting de Processos: Procurar pela presença do DiskIntegrityScanner.exe em todos os endpoints, pois não é um binário legítimo do Windows.
- Monitoramento de Rede: Monitorar conexões de saída para a porta 9000 em IPs hospedados na DigitalOcean, que é avaliada como a porta de callback do beacon.
- Alertas de Proxy: Configurar alertas para atividade SOCKS5 reversa na porta 1080.
- Denúncia: Reportar a infraestrutura à equipe de abuso da DigitalOcean em abuse@digitalocean.com.
- Monitoramento de Socket.io: Procurar por solicitações de polling Socket.io direcionadas a portas não padrão, que podem indicar comportamento de beaconing C2 ativo.
O que os CISOs devem fazer agora
Para executivos de segurança e CISOs, o caso Auraboros serve como um lembrete da importância de monitorar não apenas o tráfego de entrada, mas também o comportamento de saída de suas redes. A exposição de um painel C2 sem autenticação é uma falha grave que pode ser explorada por outros atacantes ou investigadores. É crucial revisar as políticas de segurança de endpoints para detectar técnicas de DLL Sideloading e implementar soluções de proteção que monitorem o uso da API DPAPI para acesso não autorizado a credenciais de navegador.
A colaboração com a comunidade de inteligência de ameaças e a participação em grupos de compartilhamento de informações de segurança podem ajudar a identificar e mitigar ameaças como o Auraboros antes que causem danos significativos. A transparência e a resposta rápida a incidentes são fundamentais para manter a resiliência cibernética das organizações.