Quasar RAT explora falhas no windows para operar de forma oculta
O Quasar RAT, um trojan de acesso remoto de código aberto, foi observado utilizando a técnica de carregamento lateral de DLL para operar de forma furtiva em sistemas Windows comprometidos.
A técnica de carregamento lateral de DLL explora a confiança inerente que esses arquivos possuem no ambiente Windows. O Quasar RAT se baseia em processos legítimos como ctfmon.exe e calc.exe como parte da cadeia de ataque.
Também conhecido como CinaRAT ou Yggdrasil, o Quasar RAT é uma ferramenta de administração remota baseada em C# capaz de coletar informações do sistema, listar aplicações em execução, capturar teclas pressionadas, tirar capturas de tela e executar comandos de shell arbitrários.
Quando o arquivo binário é executado, ele inicia o carregamento de um arquivo intitulado “MsCtfMonitor.dll” através da técnica de carregamento lateral de DLL, dentro do qual o código malicioso está oculto.
O código oculto é outro executável, “FileDownloader.exe”, que é injetado no Regasm.exe, a Ferramenta de Registro de Montagem do Windows, para lançar a próxima etapa, um arquivo calc.exe legítimo que carrega o Secure32.dll desonesto novamente através do carregamento lateral de DLL e lança a carga útil final do Quasar RAT.
A identidade do ator de ameaças e o vetor de acesso inicial exato usado para realizar o ataque são incertos, mas é provável que sejam disseminados por meio de e-mails de phishing.
Fonte: BoletimSec
Publicado em: Cybersegurança