Um novo Trojan de acesso remoto conhecido como CastleRAT emergiu como uma ameaça crescente aos sistemas Windows em todo o mundo.
Observado pela primeira vez por volta de março de 2025, esse malware permite que os invasores obtenham controle remoto completo sobre as máquinas comprometidas.
A ameaça vem em duas versões principais: uma versão leve do Python e uma versão C compilada mais poderosa, com a última oferecendo recursos avançados, incluindo captura de teclas, capturas de tela e métodos de instalação persistentes.
CastleRAT se comunica com seu servidor de comando e controle usando criptografia RC4 com uma chave codificada.
Uma vez implantado, o malware coleta informações do sistema, como nome do computador, nome de usuário, GUID da máquina, endereço IP público e detalhes do produto, e então transmite esses dados ao invasor.
O host infectado recebe instruções e ferramentas adicionais do servidor C2, permitindo ao invasor executar comandos remotamente.
Os pesquisadores de segurança do Splunk identificaram que o CastleRAT emprega várias técnicas sofisticadas mapeadas para a estrutura MITRE ATT&CK.
O malware reúne detalhes básicos do sistema e usa serviços da Web gratuitos, como ip-api.com, para obter endereços IP públicos para beaconing regular.
Coleta e exfiltração de dados da área de transferência
Uma técnica notável envolve a coleta de dados da área de transferência. CastleRAT lança vários threads em seu processo, com cada thread realizando diferentes atividades maliciosas.
O thread de coleta da área de transferência tem como alvo usuários que frequentemente copiam credenciais ou endereços de criptomoedas, tornando-o um método eficaz para coletar informações confidenciais, como nomes de usuário, senhas e strings de carteira.
Beacon CastleRAT e fluxo de comunicação C2 (Fonte – Splunk)
O malware sequestra a área de transferência e simula ações de colagem para exfiltrar dados furtivamente. Em vez de abrir soquetes de rede ou chamar APIs de rede óbvias, CastleRAT copia as informações coletadas para a área de transferência e invoca SendInput() para colar dados em aplicativos de aparência benigna.
Coleta de dados da área de transferência CastleRAT (fonte – Splunk)
Essa técnica reduz artefatos de rede barulhentos e combina a exfiltração com a atividade normal do usuário, complicando os esforços de detecção.
if (OpenClipboard (0164)) { VazioClipboard(); hMem = GlobalAlloc(0x2000u, v2 + 1); Destino = GlobalLock(hMem); strcpy(Destino, Fonte); SetClipboardData(1u,hMem); CloseClipboard(); pInputs(0).ki.wVk = VK_CONTROL; pInputs(2).ki.wVk = ‘V’; SendInput(4u, pInputs, 40); }
As organizações devem monitorar conexões de saída incomuns, downloads de PowerShell de uma linha, binários inesperados em pastas de usuários e sinais de tráfego criptografado RC4 para detectar essa ameaça.
Siga-nos no Google News, LinkedIn e X para obter mais atualizações instantâneas. Defina CSN como fonte preferencial no Google.
