RAT SpankRAT explora processos do Windows Explorer para evasão de detecção
Um novo toolkit de Trojan de Acesso Remoto (RAT) de dois componentes, construído em Rust e denominado SpankRAT, está sendo utilizado por atores de ameaças para abusar de processos legítimos do Windows, contornar controles de segurança baseados em reputação e manter acesso persistente em ambientes comprometidos. A análise realizada por pesquisadores da ANY.RUN flagou o SpankRAT como uma ameaça furtiva significativa devido à sua capacidade de rotear tráfego C2 através de processos do sistema confiáveis.
Descoberta e escopo
O SpankRAT representa uma evolução nas técnicas de evasão de malware, focando na ofuscação do tráfego de comando e controle (C2) dentro de processos do sistema operacional legítimos. Ao injetar código malicioso no processo explorer.exe, os atacantes conseguem fazer com que a atividade maliciosa pareça originar-se de um binário Windows confiável e integrado. Isso reduz drasticamente a visibilidade do SOC e aumenta o risco de comprometimento não detectado.
A análise inicial indica que a maioria das amostras do SpankRAT permaneceu indetectável no VirusTotal no momento da análise, sublinhando uma lacuna crítica nas abordagens de detecção baseadas em assinatura e reputação. A construção do toolkit em Rust, uma linguagem conhecida por sua segurança de memória e desempenho, sugere um desenvolvimento sofisticado e focado em estabilidade.
Vetor e exploração
A cadeia de ataque começa com o SpankLoader, um carregador de primeira etapa leve que recupera o payload principal de um servidor C2 sobre HTTP não criptografado. Após a execução, o SpankLoader eleva privilégios usando SeDebugPrivilege e deposita um DLL malicioso (rmm_agent.dll) em C:\ProgramData\ antes de injetá-lo no processo legítimo explorer.exe usando técnicas clássicas de injeção de DLL.
Para garantir acesso persistente através de reinicializações, o SpankLoader cria uma Tarefa Agendada nomeada RmmAgentCore, configurada com um gatilho de logon e execução de privilégios mais altos. Essa técnica de injeção no explorer.exe é especialmente perigosa porque permite que o tráfego gerado pelo malware pareça originar-se de um processo Windows integrado e confiável, mascarando efetivamente a verdadeira natureza da atividade das soluções tradicionais de detecção de endpoint e rede.
Uma vez instalado dentro do explorer.exe, o SpankRAT estabelece uma conexão baseada em WebSocket para o servidor C2 (ws://) usando um protocolo de comunicação baseado em JSON. A variante completa do recurso suporta 18 comandos de servidor distintos, dando aos atacantes controle remoto abrangente sobre os sistemas infectados.
Impacto e alcance
O impacto do SpankRAT é amplo, afetando qualquer ambiente Windows que não utilize detecção comportamental avançada. A capacidade de executar comandos arbitrários, manipular arquivos, controlar processos e serviços, além de manipular o registro e tarefas agendadas, fornece aos atacantes um controle total sobre o sistema comprometido.
As interações do sistema são executadas através do PowerShell usando flags -NoProfile -NonInteractive -ExecutionPolicy Bypass, o que facilita a execução de scripts maliciosos sem restrições de política de execução. A detecção de fingerprinting do sistema operacional recupera o número de build e o nome do produto diretamente do registro, permitindo que os atacantes adaptem suas ações ao ambiente específico da vítima.
Medidas de mitigação recomendadas
As equipes de operações de segurança devem priorizar regras de detecção comportamental que sinalizem injeções de DLL no explorer.exe, criação não autorizada de Tarefas Agendadas com privilégios elevados e conexões de saída WebSocket de processos do sistema que não sejam navegadores. A caça por solicitações HTTP GET para caminhos correspondendo a */download/rmm_agent.dll* dentro da telemetria SIEM ou EDR pode identificar a atividade de staging do SpankLoader.
Organizações que dependem exclusivamente de antivírus ou ferramentas baseadas em reputação são fortemente aconselhadas a incorporar análise dinâmica de sandbox em seus fluxos de trabalho de triagem para reduzir o tempo de permanência de ameaças como o SpankRAT. A implementação de controles de integridade de processo e monitoramento de comportamento de PowerShell é essencial para detectar essas atividades furtivas.
Indicadores de Comprometimento (IOCs)
As equipes de segurança devem caçar os seguintes indicadores em seus ambientes:
- Servidores C2:
45.131.214[.]132:9000(HTTP staging + WebSocket C2),166.1.144[.]109:9000(variante WebSocket C2 alternada) - Hash do Agente:
f0afbbb3c80e5347191452f2f3b147627e9d1ae4d60b61d6da900a60b35eec95 - Arquivos Maliciosos:
RmmAgentCore.exe(loader),rmm_agent.dll(payload),arc_agent.exe(variante standalone) - Caminho de Drop:
C:\ProgramData\ - Mecanismo de Persistência: Tarefa Agendada
RmmAgentCore, gatilho de logon, privilégios mais altos - Alvo de Injeção:
explorer.exe - Ambiente de Build: Rust (Cargo); Windows MSVC + Linux cross-compile; caminhos de desenvolvimento indicam
C:\Users\spank\.cargo\e/root/.cargo\
Perguntas frequentes
Como detectar o SpankRAT?
A detecção requer análise comportamental focada em injeção de DLL no explorer.exe e conexões WebSocket de processos do sistema. Ferramentas de sandbox dinâmica são altamente recomendadas.
Qual é o risco para o Brasil?
O risco é global, afetando qualquer ambiente Windows. Empresas brasileiras devem monitorar os IOCs listados e revisar suas regras de detecção de PowerShell e injeção de DLL.
Existe correção de software?
Não há correção de software específica, pois o ataque explora técnicas de ofuscação e não uma vulnerabilidade de software específica. A mitigação depende de controles de segurança e monitoramento.