Resumo de Malware: Um quarteto de malware a trabalhar em conjunto

No briefing de malware de hoje, vamos dar uma vista de olhos rápida a quatro exemplos diferentes de malware que surgiram todos aproximadamente ao mesmo tempo. Demonstram a complexa cadeia de ameaças que estão a ser usadas em conjunto, por vezes por grupos diferentes para fins distintos.

Neste caso, todos os quatro — RomCom RAT, TransferLoader, MeltingClaw e DustyHammock — foram identificados no início da década de 2020 após a invasão russa da Ucrânia. Foram e são amplamente utilizados por grupos de língua russa contra alvos ucranianos, polacos e alguns russos.

RomCom RAT

Tipo: Trojan de Acesso Remoto (RAT)

Distribuição: Campanhas de phishing, URLs comprometidos, downloads de software falsos

Variante: SingleCamper

Primeiramente identificado: 2022

Alvos comuns: Implantado principalmente contra alvos na Ucrânia

Operadores conhecidos: TA829, UAT-5647

O RomCom RAT é utilizado por agentes maliciosos para criar uma porta traseira para controlar remotamente computadores endpoint. O grupo TA829, com ligações à Rússia, utiliza esta e outras ferramentas para recolha de informações, bem como para fraude financeira. Este grupo explora tipicamente vulnerabilidades no Mozilla Firefox e Microsoft Windows para disseminar o RomCom RAT.

Depois de um sistema ser comprometido com o RomCom RAT, o agente de ameaça normalmente insere um carregador furtivo como o TransferLoader ou SlipScreen nele. Estes são então usados para carregar ransomware no sistema alvo.

Foi inicialmente utilizado principalmente contra alvos ucranianos e polacos por grupos de língua russa, antes de ser adaptado para crimes financeiros.

CarregadorDeTransferência

Tipo: Carregador de malware

Distribuição: campanhas de phishing temáticas de candidatura de emprego , comprometimento por RAT

Primeiro identificado: fevereiro 2025

Operador conhecido: UNK_GreenSec, RomCom

TransderLoader combina um downloader, uma backdoor e um carregador de backdoor para permitir que agentes maliciosos façam alterações em sistemas comprometidos e insiram ransomware ou outro malware.

Foi descoberto pela primeira vez quando foi usado para carregar o ransomware Morpheus no sistema de um escritório de advocacia americano. Desde então, tem sido utilizado para introduzir malware como MeltingClaw e DustyHammer.

TransferLoader foi concebido para ser furtivo, utilizando uma variedade de técnicas para evitar a deteção. Ao executar código malicioso descarregado, mascara a sua atividade ao abrir ficheiros PDF de disfarce.

MeltingClaw

Tipo: Downloader

Variante: RustyClaw

Primeiro identificado: 2024

Operadores/criadores conhecidos: RomCom — também conhecido como Storm-0978, UAC-0180, Void Rabisu, UNC2596, e Tropical Scorpius

Campanhas avançadas de spear-phishing têm sido usadas para entregar os downloaders MeltingClaw e o seu primo RustyClaw. Estes, em seguida, descarregam e instalam as backdoors DustyHammock ou ShadyHammock.

Estas portas traseiras furtivas permitem o acesso a longo prazo aos sistemas-alvo, encontrando e exfiltrando dados ou realizando outras tarefas maliciosas. Foi utilizado para espionagem e sabotagem contra sistemas na Ucrânia durante a invasão russa.

DustyHammock

Tipo: Backdoor

Variante: ShadyHammock

Primeiro identificado: 2024

O DustyHammock é concebido para comunicar com um servidor de comando e controlo, realizar reconhecimento inicial em sistemas alvo, e permitir que atores maliciosos executem comandos arbitrários e descarreguem e coloquem ficheiros maliciosos.

Destinado a permitir o acesso a longo prazo enquanto evita a deteção, o DustyHammock tem sido usado para exfiltração de dados e espionagem, assim como para sabotagem.