Detecção do VenomRAT: Um Novo Ataque Multiestágio Usando ScrubCrypt para Implantar a Carga Útil Final com Plugins Maliciosos

[post-views]
Abril 10, 2024 · 4 min de leitura
Detecção do VenomRAT: Um Novo Ataque Multiestágio Usando ScrubCrypt para Implantar a Carga Útil Final com Plugins Maliciosos

Pesquisadores de cibersegurança revelaram um ataque sofisticado e em várias etapas, no qual os adversários aproveitam a ferramenta de evasão de anti-malware ScrubCrypt para implantar o VenomRAT junto com vários plugins nocivos, incluindo os nefastos Remcos, XWorm, NanoCore RAT, e outras variantes maliciosas.

Detectar VenomRAT Implantado via ScrubCrypt

Com a proliferação de ciberataques e o emprego de métodos de intrusão cada vez mais sofisticados, os defensores cibernéticos necessitam de soluções avançadas para reforçar suas capacidades de defesa em larga escala. A Plataforma SOC Prime para defesa cibernética coletiva oferece tecnologia de ponta para detecção e caça de ameaças, enquanto serve como o maior repositório mundial de detecções baseadas em comportamento contra os TTPs mais recentes.

Para identificar a atividade maliciosa associada à última campanha do ScrubCrypt, os profissionais de segurança podem confiar em um conjunto de detecção disponível na Plataforma SOC Prime. Basta clicar no botão Explorar Deteção abaixo e acessar imediatamente a lista relevante de regras Sigma compatíveis com 28 tecnologias SIEM, EDR e Data Lake. Todas as detecções são mapeadas para o framework MITRE ATT&CK v14.1 e enriquecidas com inteligência de ameaças personalizada.

Explorar Detecções

Além disso, os especialistas em cibersegurança podem explorar um conjunto de conteúdos de detecção abordando os ataques VenomRAT, pesquisando no Marketplace de Detecção de Ameaças com a tag ¨VenomRAT¨ ou usando este link.

Análise do Ataque de Disseminação do VenomRAT via ScrubCrypt

Em 8 de abril de 2024, os pesquisadores do FortiGuard Labs emitiram um relatório esclarecendo sobre uma nova campanha ofensiva avançada lançada através de um vetor de ataque de phishing. Hackers empregam o framework ScrubCrypt para distribuir uma carga útil do VenomRAT juntamente com um conjunto de outros plugins maliciosos utilizando várias camadas de ofuscação e técnicas de evasão.

A cadeia de infecção é iniciada por e-mails de phishing com arquivos SVG nocivos. Clicar em um anexo isca dentro do e-mail leva ao download de um arquivo ZIP com um arquivo Batch ofuscado com a utilidade BatCloak, que os atacantes usam há muito tempo para evadir a detecção. Em seguida, os hackers aplicam o ScrubCrypt para dispersar VenomRAT e mais plugins nocivos nos sistemas comprometidos enquanto estabelecem uma conexão com o servidor C2.

A carga inicial entregue via ScrubCrypt serve a dois principais objetivos: estabelecer persistência e carregar o malware alvo. O VenomRAT, uma iteracão modificada de um nefasto Quasar RAT, foi observado no cenário de ameaças cibernéticas desde 2020. Adversários o aplicam para acessar e controlar ilicitamente os sistemas afetados. Semelhante a outros RATs, o VenomRAT capacita os atacantes a manipular remotamente dispositivos comprometidos, facilitando várias atividades maliciosas sem o conhecimento ou autorização da vítima.

Além do VenomRAT, os hackers espalham NanoCore RAT ao longo das instâncias impactadas usando um arquivo VBS ofuscado. Eles também implantam o XWorm RAT, malware capaz de roubar dados sensíveis ou permitir acesso remoto. O quarto plugin aplicado nesta campanha ofensiva é o notório Remcos RAT, que tem sido ativamente utilizado em campanhas de phishing contra a Ucrânia. Um outro plugin do conjunto de ferramentas do adversário é um stealer, que não é apenas distribuído via o script VBS ofuscado acima mencionado, mas também integrado em um arquivo de execução .NET que é ofuscado usando SmartAssembly. Este plugin inclui um array codificado representando o arquivo DLL malicioso destinado a roubar dados sensíveis do usuário. Este último rastreia continuamente o sistema do usuário e observa carteiras de criptomoedas específicas.

O surgimento de ataques cibernéticos semelhantes sofisticados, nos quais os adversários exibem a capacidade de manter persistência, evadir detecção e implantar cargas úteis diversificadas, alimenta a necessidade crítica de medidas robustas de defesa cibernética para minimizar os riscos de intrusões. Ao aproveitar o Attack Detective da SOC Prime, as organizações podem elevar a defesa cibernética através da validação automática do conjunto de detecção para prevenir ataques antes que ocorram.

Este artigo foi útil?

Curta e compartilhe com seus colegas.
Junte-se à plataforma Detection as Code da SOC Prime para melhorar a visibilidade das ameaças mais relevantes para o seu negócio. Para ajudá-lo a começar e obter valor imediato, agende uma reunião agora com os especialistas da SOC Prime.
Junte-se Gratuitamente Agende uma Reunião

Publicações Relacionadas

Detecção de Atividades do Grupo XE: Da Cópia de Cartões de Crédito à Exploração de Vulnerabilidades Zero-Day CVE-2024-57968 e CVE-2025-25181 no VeraCore
Ameaças Mais Recentes, Blog — 4 min de leitura
Detecção de Atividades do Grupo XE: Da Cópia de Cartões de Crédito à Exploração de Vulnerabilidades Zero-Day CVE-2024-57968 e CVE-2025-25181 no VeraCore
Veronika Telychko
Detecção do Lumma Stealer: Campanha Sofisticada Usando Infraestrutura do GitHub para Espalhar SectopRAT, Vidar, Cobeacon e Outros Tipos de Malware
Ameaças Mais Recentes, Blog — 4 min de leitura
Detecção do Lumma Stealer: Campanha Sofisticada Usando Infraestrutura do GitHub para Espalhar SectopRAT, Vidar, Cobeacon e Outros Tipos de Malware
Veronika Telychko
Detecção de Backdoor TorNet: Uma Campanha de Phishing Contínua Usa Malware PureCrypter para Descarregar Outros Cargas
Ameaças Mais Recentes, Blog — 6 min de leitura
Detecção de Backdoor TorNet: Uma Campanha de Phishing Contínua Usa Malware PureCrypter para Descarregar Outros Cargas
Veronika Telychko