RAT DesckVB usa JavaScript ofuscado e carregador .NET sem arquivo para evadir detecção
Um novo Trojan de Acesso Remoto (RAT) conhecido como DesckVB tem sido alvo de sistemas em 2026, utilizando JavaScript ofuscado e um carregador .NET sem arquivo para permanecer oculto das ferramentas de segurança tradicionais. O malware concede aos atacantes controle remoto total sobre a máquina da vítima, representando uma ameaça séria para indivíduos e organizações.
Cadeia de infecção sem arquivo
O DesckVB RAT inicia sua cadeia de infecção com um arquivo JavaScript fortemente ofuscado que, uma vez executado, deposita silenciosamente um script PowerShell no diretório C:\Users\Public do sistema alvo. O JavaScript replica seu código em arquivos PowerShell e de texto, dando ao malware múltiplas formas de execução.
O que torna essa ameaça particularmente perigosa é que ela evita escrever a maioria de seus componentes principais no disco, tornando muito mais difícil para ferramentas antivírus convencionais capturá-la. A análise dos analistas da Point Wild, equipe LAT61 Threat Intelligence, revelou como o malware usa ofuscação em camadas para esconder seu verdadeiro propósito em cada etapa da execução.
Técnicas de evasão avançadas
A pesquisa descobriu que o malware combina codificação Base64 com reversão de string de URL para ocultar os endereços do servidor de comando e controle (C2), uma tática projetada para enganar ferramentas de varredura automatizadas. Uma vez totalmente implantado, o DesckVB RAT carrega um assembly .NET diretamente na memória usando técnicas de reflexão .NET, contornando a necessidade de deixar arquivos no disco rígido.
Este método de execução em memória permite que o malware execute suas rotinas prejudiciais sem acionar muitos sistemas de detecção baseados em arquivos. Em tempo de execução, o malware ativa várias capacidades prejudiciais, incluindo keylogging, acesso à webcam, evasão de detecção antivírus e comunicação criptografada com seu servidor C2.
Impacto e capacidades
O impacto geral do DesckVB RAT é amplo e preocupante. Os atacantes que o implantam podem roubar informações sensíveis, monitorar a atividade do usuário em tempo real e manter acesso de longo prazo a um sistema comprometido sem levantar alarmes imediatos. O uso de tráfego HTTPS criptografado na porta 443 permite que ele se misture com a atividade normal da internet, tornando a detecção em nível de rede tão difícil quanto a detecção em endpoint.
Indicadores de comprometimento (IOCs)
As equipes de segurança devem observar a execução incomum do PowerShell, o uso inesperado do InstallUtil.exe e conexões de saída para domínios ou IPs desconhecidos. O bloqueio da execução de scripts de C:\Users\Public e a habilitação do log detalhado de scripts PowerShell são primeiros passos práticos para capturar essa ameaça cedo.
O payload final, Microsoft.exe, carrega matrizes de strings codificadas que mantêm uma configuração de tempo de execução oculta. Uma vez ativo, ele deposita Keylogger.dll diretamente na memória e começa a comunicação C2 sobre manikandan83.mysynology.net na porta 7535, resolvendo para o IP 45.156.87.226.
Recomendações de defesa
Manter o software de proteção de endpoint atualizado continua sendo uma defesa crítica, pois as ferramentas de detecção já mostraram capacidade de sinalizar componentes-chave deste malware. A implementação de políticas de controle de aplicação que restringem o uso de ferramentas legítimas como InstallUtil.exe pode reduzir a superfície de ataque. Além disso, a monitoração de tráfego de saída para domínios suspeitos é essencial para identificar a comunicação C2.
Conclusão
O DesckVB RAT representa uma evolução nas táticas de malware, focando em evasão de detecção e execução em memória. A combinação de JavaScript ofuscado e carregadores .NET sem arquivo exige que as equipes de segurança adotem ferramentas de detecção comportamental e monitoramento de rede avançado para identificar e neutralizar essas ameaças antes que causem danos significativos.