Cotação de desconto para licenças múltiplas
Banco de Dados de Ameaças Ferramentas de Administração Remota Malware EtherRAT

Malware EtherRAT

Por Mezo em Ferramentas de Administração Remota, Ameaça Persistente Avançada (APT)
Traduzir Para:

Uma campanha de ameaças recentemente descoberta, ligada a operadores norte-coreanos, acredita-se estar explorando a vulnerabilidade crítica do React2Shell (RSC) para implantar um trojan de acesso remoto até então desconhecido, chamado EtherRAT. Este malware se destaca por incorporar contratos inteligentes do Ethereum em seu fluxo de trabalho de Comando e Controle (C2), instalar múltiplas camadas de persistência no Linux e incluir seu próprio ambiente de execução Node.js durante a implantação.

Links para as operações em andamento de 'Entrevista Contagiosa'

As equipes de segurança identificaram fortes semelhanças entre a atividade do EtherRAT e a campanha de longa duração conhecida como Contagious Interview, uma série de ataques que está ativa desde o início de 2025 e usa a técnica EtherHiding para distribuição de malware.

Essas operações geralmente têm como alvo desenvolvedores de blockchain e Web3, disfarçando intenções maliciosas por trás de entrevistas de emprego, testes de programação e avaliações em vídeo falsificados. As vítimas geralmente são contatadas por meio de plataformas como LinkedIn, Upwork e Fiverr, onde os atacantes se fazem passar por recrutadores legítimos, oferecendo oportunidades de emprego de alto valor.

Os pesquisadores observam que esse grupo de ameaças se tornou uma das forças maliciosas mais produtivas dentro do ecossistema npm, demonstrando sua habilidade em infiltrar cadeias de suprimentos baseadas em JavaScript e fluxos de trabalho focados em criptografia.

A Invasão Inicial: Exploração do React2Shell

A sequência de ataque começa com a exploração da vulnerabilidade crítica CVE-2025-55182 do RSC, com uma pontuação de severidade perfeita de 10. Usando essa falha, os atacantes executam um comando codificado em Base64 que baixa e aciona um script shell responsável por iniciar o implante JavaScript principal.

O script é obtido via curl, com wget e python3 atuando como métodos alternativos. Antes de executar o payload principal, ele prepara o sistema adquirindo o Node.js v20.10.0 diretamente de nodejs.org e, em seguida, grava no disco um blob de dados criptografado e um dropper JavaScript oculto. Para limitar os rastros forenses, o script se limpa após a conclusão da configuração e transfere o controle para o dropper.

Entrega do EtherRAT: Criptografia, Execução e Controle de Contrato Inteligente C2

A função principal do dropper é simples: descriptografar o payload EtherRAT usando uma chave pré-definida e executá-lo com o binário Node.js recém-baixado.

O principal diferencial do EtherRAT é sua dependência do EtherHiding, um método que recupera o endereço do servidor C2 de um contrato inteligente Ethereum a cada cinco minutos. Isso permite que os operadores atualizem a infraestrutura em tempo real, mesmo que os defensores interrompam os domínios existentes.

Um diferencial exclusivo desta implementação é seu sistema de votação baseado em consenso. O EtherRAT consulta nove endpoints RPC públicos do Ethereum simultaneamente, coleta os resultados e confia na URL de comando e controle (C2) retornada pela maioria. Essa abordagem neutraliza diversas estratégias defensivas, garantindo que um endpoint RPC comprometido ou manipulado não consiga enganar ou comprometer toda a botnet.

Pesquisadores já haviam identificado uma técnica semelhante nos pacotes maliciosos do npm colortoolsv2 e mimelib2, que eram usados para distribuir componentes de download para desenvolvedores.

Sondagem de comandos de alta frequência e persistência multicamadas

Após estabelecer comunicação com seu servidor C2, o EtherRAT entra em um ciclo de sondagem rápida, executado a cada 500 milissegundos. Qualquer resposta com mais de dez caracteres é interpretada como JavaScript e executada instantaneamente no sistema comprometido.

O acesso a longo prazo é mantido por meio de cinco técnicas de persistência, aumentando a confiabilidade em vários processos de inicialização do Linux:

Métodos de Persistência:

  • serviço de usuário Systemd
  • Entrada de inicialização automática XDG
  • Tarefas agendadas
  • Modificação do arquivo .bashrc
  • Injeção de perfil

Ao se espalhar por múltiplos caminhos de execução, o malware continua rodando mesmo após reinicializações, garantindo acesso ininterrupto para os operadores.

Capacidades de Autoatualização e Estratégia de Ofuscação

O EtherRAT inclui um processo de atualização sofisticado: ele envia seu próprio código-fonte para um endpoint de API, recebe uma versão modificada do servidor C2 e se reinicia com essa nova variante. Embora a atualização seja funcionalmente idêntica, a carga útil retornada é ofuscada de forma diferente, ajudando o implante a escapar de técnicas de detecção estática.

O código apresenta sobreposições com famílias de ameaças JavaScript anteriores.

Análises adicionais revelam que partes do carregador criptografado do EtherRAT compartilham padrões com o BeaverTail, um conhecido programa de download e roubo de informações baseado em JavaScript usado nas operações da Contagious Interview. Isso reforça a avaliação de que o EtherRAT é um sucessor direto ou uma extensão das ferramentas usadas nessa campanha.

Implicações para os defensores: uma mudança em direção à furtividade e à persistência.

O EtherRAT demonstra uma evolução significativa na exploração do React2Shell. Em vez de se concentrar apenas em atividades oportunistas como mineração de criptomoedas ou roubo de credenciais, este implante prioriza o acesso furtivo e de longo prazo. Sua combinação de operações de comando e controle (C2) orientadas por contratos inteligentes, verificação de endpoints baseada em consenso, múltiplas camadas de persistência e auto-ofuscação contínua representa um sério desafio para os defensores.

Principais conclusões para equipes de segurança

As equipes de segurança devem observar que o EtherRAT representa uma escalada significativa na exploração de vulnerabilidades de segurança de rede (RSC), transformando-o em uma ameaça persistente e altamente adaptável, capaz de sustentar intrusões de longo prazo. Sua infraestrutura de comando e controle é particularmente resiliente, utilizando contratos inteligentes Ethereum e um mecanismo de consenso multi-endpoint para resistir a tentativas de redirecionamento de servidores, desativações e manipulação de endpoints individuais. Além disso, a estreita associação do malware com a campanha Contagious Interview destaca um foco contínuo em alvos de desenvolvedores de alto valor, enfatizando a necessidade de maior vigilância nas comunidades de desenvolvimento blockchain e Web3.

Tendendo

O QakBot Reaparece para Roubar Credenciais de Logon...

Segurança do Computador
Embora uma das principais funções do QakBot seja a extração de credenciais bancárias, os dados roubados durante alguns dos ataques de alto nível pelos quais foi responsável mostra que essa família de malware em particular é muito mais do que um simples Trojan financeiro. De fato, causou um alvoroço ao violar o sistema de uma agência de desemprego dos EUA em 2011 e, depois de comprometer algumas...

Mais visto

Carregando...