O cavalo de Troia CetaRAT usa ativação retardada para fugir da segurança
O CetaRAT é um cavalo de Tróia de acesso remoto (RAT) cujo desenvolvimento e uso são atribuídos a um grupo desconhecido de Ameaça persistente avançada (APT). Porém, é possível que os criminosos por trás dele estejam compartilhando ferramentas com outros grupos, uma vez que o CetaRAT esteve anteriormente envolvido em uma campanha operada pela Operação SideCopy APT.
As infecções por CetaRAT geralmente ocorrem por meio de e-mails de spearphishing que contêm um anexo perigoso. Obviamente, o arquivo está disfarçado para parecer um documento, fatura ou arquivo inofensivo que a vítima não considerará suspeito. Se eles abrirem o arquivo malicioso, podem ser solicitados a conceder a ele certas permissões que levarão à execução de um script de macro e à entrega da carga útil CetaRAT.
Mensagens de phishing relacionadas à política espalham a CetaRAT
As mensagens de phishing que veiculam o CetaRAT geralmente se concentram em tópicos relacionados à política na região da vítima - por exemplo, relações Índia-China ou documentação do Ministério de Relações Exteriores. A forma como o CetaRAT é executado em máquinas infectadas também é muito intrigante. Em vez de inicializar o módulo malicioso imediatamente, a ameaça deixará seus arquivos no diretório de inicialização e, em seguida, iniciará um script para comandar a máquina a reiniciar após algum tempo. Essa execução atrasada pode permitir que o CetaRAT evite certos recursos de segurança.
O foco principal deste cavalo de Troia de acesso remoto é exfiltrar dados da máquina da vítima e transferi-los para o servidor dos atacantes. Os criminosos também são capazes de executar uma longa lista de comandos remotos:
- Baixe e execute um arquivo.
- Gerenciar o sistema de arquivos.
- Renomear arquivos.
- Execute comandos remotos.
- Faça capturas de tela.
- Gerenciar processos em execução.
As vítimas nas regiões afetadas pelo ataque do CetaRAT podem aumentar sua segurança, permanecendo vigilantes em relação a e-mails suspeitos que os incentivam a ver um anexo. Além disso, usar uma solução antivírus atualizada é a melhor maneira de impedir ataques de malware.