Resumo
Pesquisadores da Ahnlab Security Intelligence Center (ASEC) identificaram distribuição do RAT xRAT — também chamado QuasarRAT — disfarçado de jogos adultos em serviços de compartilhamento webhard na Coreia, segundo relatório publicado pela ASEC e repercutido por fontes de segurança.
Descoberta e escopo
A investigação da ASEC encontrou múltiplas postagens que ofereciam arquivos compactados com nomes sugestivos de jogos ou conteúdo adulto. Embora muitos posts tenham sido removidos antes da análise, os analistas confirmaram que várias amostras continham o mesmo payload malicioso, o que sugere operação coordenada por um mesmo ator de ameaça.
Vetor e cadeia de infecção
Conforme descrito no relatório da ASEC, a amostra distribuída vinha em um arquivo ZIP com componentes nomeados como Game.exe, Data1.Pak e arquivos de suporte. Na execução, Game.exe funciona como um lançador. Ao acionar o “play”, o malware copia Data1.Pak para uma pasta Locales_module com o nome Play.exe e coloca Data2.Pak e Data3.Pak no caminho do Windows Explorer como GoogleUpdate.exe e WinUpdate.db, respectivamente.
Mecanismo de persistência e evasão
O GoogleUpdate.exe procura WinUpdate.db no mesmo diretório e aplica uma rotina de descriptografia AES para extrair o shellcode final. Esse código é injetado em explorer.exe, processo crítico do Windows, e inclui uma modificação que sobrescreve a função EtwEventWrite em explorer.exe com um retorno imediato — técnica que desativa o Event Tracing for Windows (ETW) e dificulta a detecção por logs nativos.
Capacidades observadas
O payload final, identificado como xRAT/QuasarRAT, executa coleta de informação do sistema, monitoramento de teclado (keylogging) e transferência não autorizada de arquivos, conforme a ASEC. A reportagem indica que o implantado realiza operações típicas de RATs, possibilitando controle remoto e exfiltração.
Limites e evidências
A ASEC observou que várias distribuições usavam a mesma estrutura de arquivo e payload, mas não divulgou métricas públicas sobre número de vítimas ou endpoints comprometidos. Muitos anúncios foram removidos das plataformas webhard antes da análise, o que limita a mensuração do alcance.
Implicações para defensores
Do ponto de vista operacional, a injeção em explorer.exe e a desativação de ETW representam sinais de sofisticada evasão que exigem respostas além de varreduras simples por hashes. A recomendação presente no relatório é priorizar downloads de fontes oficiais e evitar downloads de sites de compartilhamento não verificados; também é necessário monitorar sinais de injeção em processos críticos e comportamentos fora do padrão.
Recomendações práticas
- Bloquear origens conhecidas de webhard e analisar arquivos compactados com sandboxing antes da execução;
- Monitore alterações em explorer.exe e chamadas à EtwEventWrite como possíveis indicadores de comprometimento;
- Utilizar EDR com capacidade de detectar injeção de código e comportamentos pós-exploração;
- Educar usuários sobre risco de downloads em sites de terceiros e sobre vetores de engenharia social.
O que não está claro
Não há, no relatório disponibilizado, números sobre vítimas, nem indicadores de comprometimento (IoCs) completos na cópia da matéria consultada. A ASEC documentou a estrutura e o mecanismo de ação, mas não publicou uma lista pública de hashes ou servidores de comando e controle no trecho disponível.
Fonte: Ahnlab Security Intelligence Center (ASEC) / Cyber Security News