🚨 NOVA NOTÍCIA EM DESTAQUE! 🚨
Confira agora e compartilhe com seus amigos!
Apoie esse projeto de divulgacao de noticias! Clique aqui
Pesquisadores de segurança cibernética descobriram um kit de ferramentas de acesso remoto de origem russa que é distribuído por meio de arquivos maliciosos de atalho do Windows (LNK) disfarçados como pastas de chaves privadas.
O kit de ferramentas CTRL, de acordo com Censys, é personalizado usando .NET e inclui vários executáveis” para facilitar phishing de credenciais, keylogging, sequestro de Remote Desktop Protocol (RDP) e tunelamento reverso via Fast Reverse Proxy (FRP).
“Os executáveis fornecem carregamento de carga criptografada, coleta de credenciais por meio de uma interface de phishing polida do Windows Hello, keylogging, sequestro de sessão RDP e tunelamento de proxy reverso por meio de FRP”, disse Andrew Northern, pesquisador de segurança da Censys.
A plataforma de gerenciamento de superfície de ataque disse que recuperou CTRL de um diretório aberto em 146.19.213[.]155 em fevereiro de 2026. As cadeias de ataque que distribuem o kit de ferramentas dependem de um arquivo LNK armado ("Chave Privada #kfxm7p9q_yek.lnk") com um ícone de pasta para enganar os usuários e fazê-los clicar duas vezes nele.
Isso desencadeia um processo de vários estágios, com cada estágio descriptografando ou descompactando o próximo, até levar à implantação do kit de ferramentas. O conta-gotas de arquivo LNK foi projetado para iniciar um comando oculto do PowerShell, que então limpa os mecanismos de persistência existentes da pasta de inicialização do Windows da vítima.
Ele também decodifica um blob codificado em Base64 e o executa na memória. O stager, por sua vez, testa a conectividade TCP com hui228[.]ru:7000 e baixa as cargas úteis do próximo estágio do servidor. Além disso, ele modifica regras de firewall, configura persistência usando tarefas agendadas, cria usuários locais backdoor e gera um servidor shell cmd.exe na porta 5267 que pode ser acessado através do túnel FRP.
Uma das cargas baixadas, "ctrl.exe", funciona como um carregador .NET para iniciar uma carga incorporada, a CTRL Management Platform, que pode servir como servidor ou cliente, dependendo dos argumentos da linha de comando. A comunicação ocorre por meio de um pipe nomeado do Windows.
“O design de modo duplo significa que o operador implanta ctrl.exe uma vez na vítima (por meio do stager) e, em seguida, interage com ele executando o cliente ctrl.exe por meio da sessão RDP com túnel FRP”, disse Censys. "A arquitetura de pipe nomeado mantém todo o tráfego de comando C2 local para a máquina vítima - nada atravessa a rede, exceto a própria sessão RDP."
Os comandos suportados permitem que o malware colete informações do sistema, inicie um módulo projetado para coleta de credenciais e inicie um keylogger como um serviço em segundo plano (se configurado como um servidor) para capturar todas as teclas digitadas em um arquivo chamado "C:\Temp\keylog.txt" instalando um gancho de teclado e exfiltrando os resultados.
O componente de coleta de credenciais é iniciado como um aplicativo Windows Presentation Foundation (WPF) que imita um prompt real de verificação de PIN do Windows para capturar o PIN do sistema. O módulo, além de bloquear tentativas de escapar da janela de phishing por meio de atalhos de teclado como Alt+Tab, Alt+F4 ou F4, valida o PIN inserido em relação ao prompt de credencial real do Windows por meio da automação da interface do usuário usando o método SendKeys().
“Se o PIN for rejeitado, a vítima receberá uma mensagem de erro”, explicou Northern. "A janela permanece aberta mesmo que o PIN seja validado com êxito no sistema de autenticação real do Windows. O PIN capturado é registrado com o prefixo [STEALUSER PIN CAPTURED] no mesmo arquivo de keylog usado pelo keylogger em segundo plano."
Um dos comandos integrados ao kit de ferramentas permite enviar notificações do sistema representando navegadores da web como Google Chrome, Microsoft Edge, Brave, Opera, Opera GX, Vivaldi, Yandex e Iron para realizar roubo de credenciais adicionais ou entregar outras cargas úteis. As outras duas cargas descartadas como parte do ataque estão listadas abaixo -
FRPWrapper.exe, que é uma DLL Go carregada na memória para estabelecer túneis reversos para RDP e um shell TCP bruto por meio do servidor FRP do operador.
RDPWrapper.exe, que permite sessões RDP simultâneas ilimitadas.
“O kit de ferramentas demonstra segurança operacional deliberada. Nenhum dos três binários hospedados contém endereços C2 codificados", disse Censys. "Toda a exfiltração de dados ocorre através do túnel FRP via RDP - o operador se conecta à área de trabalho da vítima e lê os dados do keylog através do canal nomeado ctrl. Essa arquitetura deixa artefatos forenses de rede mínimos em comparação com os padrões tradicionais de beacon C2."
“O kit de ferramentas CTRL demonstra uma tendência em direção a kits de ferramentas desenvolvidos especificamente para um único operador, que priorizam a segurança operacional em detrimento da variedade de recursos. Ao rotear toda a interação através de túneis reversos FRP para sessões RDP, a operadora evita os padrões de beacon detectáveis pela rede que caracterizam os RATs comuns."
O kit de ferramentas CTRL, de acordo com Censys, é personalizado usando .NET e inclui vários executáveis” para facilitar phishing de credenciais, keylogging, sequestro de Remote Desktop Protocol (RDP) e tunelamento reverso via Fast Reverse Proxy (FRP).
“Os executáveis fornecem carregamento de carga criptografada, coleta de credenciais por meio de uma interface de phishing polida do Windows Hello, keylogging, sequestro de sessão RDP e tunelamento de proxy reverso por meio de FRP”, disse Andrew Northern, pesquisador de segurança da Censys.
A plataforma de gerenciamento de superfície de ataque disse que recuperou CTRL de um diretório aberto em 146.19.213[.]155 em fevereiro de 2026. As cadeias de ataque que distribuem o kit de ferramentas dependem de um arquivo LNK armado ("Chave Privada #kfxm7p9q_yek.lnk") com um ícone de pasta para enganar os usuários e fazê-los clicar duas vezes nele.
Isso desencadeia um processo de vários estágios, com cada estágio descriptografando ou descompactando o próximo, até levar à implantação do kit de ferramentas. O conta-gotas de arquivo LNK foi projetado para iniciar um comando oculto do PowerShell, que então limpa os mecanismos de persistência existentes da pasta de inicialização do Windows da vítima.
Ele também decodifica um blob codificado em Base64 e o executa na memória. O stager, por sua vez, testa a conectividade TCP com hui228[.]ru:7000 e baixa as cargas úteis do próximo estágio do servidor. Além disso, ele modifica regras de firewall, configura persistência usando tarefas agendadas, cria usuários locais backdoor e gera um servidor shell cmd.exe na porta 5267 que pode ser acessado através do túnel FRP.
Uma das cargas baixadas, "ctrl.exe", funciona como um carregador .NET para iniciar uma carga incorporada, a CTRL Management Platform, que pode servir como servidor ou cliente, dependendo dos argumentos da linha de comando. A comunicação ocorre por meio de um pipe nomeado do Windows.
“O design de modo duplo significa que o operador implanta ctrl.exe uma vez na vítima (por meio do stager) e, em seguida, interage com ele executando o cliente ctrl.exe por meio da sessão RDP com túnel FRP”, disse Censys. "A arquitetura de pipe nomeado mantém todo o tráfego de comando C2 local para a máquina vítima - nada atravessa a rede, exceto a própria sessão RDP."
Os comandos suportados permitem que o malware colete informações do sistema, inicie um módulo projetado para coleta de credenciais e inicie um keylogger como um serviço em segundo plano (se configurado como um servidor) para capturar todas as teclas digitadas em um arquivo chamado "C:\Temp\keylog.txt" instalando um gancho de teclado e exfiltrando os resultados.
O componente de coleta de credenciais é iniciado como um aplicativo Windows Presentation Foundation (WPF) que imita um prompt real de verificação de PIN do Windows para capturar o PIN do sistema. O módulo, além de bloquear tentativas de escapar da janela de phishing por meio de atalhos de teclado como Alt+Tab, Alt+F4 ou F4, valida o PIN inserido em relação ao prompt de credencial real do Windows por meio da automação da interface do usuário usando o método SendKeys().
“Se o PIN for rejeitado, a vítima receberá uma mensagem de erro”, explicou Northern. "A janela permanece aberta mesmo que o PIN seja validado com êxito no sistema de autenticação real do Windows. O PIN capturado é registrado com o prefixo [STEALUSER PIN CAPTURED] no mesmo arquivo de keylog usado pelo keylogger em segundo plano."
Um dos comandos integrados ao kit de ferramentas permite enviar notificações do sistema representando navegadores da web como Google Chrome, Microsoft Edge, Brave, Opera, Opera GX, Vivaldi, Yandex e Iron para realizar roubo de credenciais adicionais ou entregar outras cargas úteis. As outras duas cargas descartadas como parte do ataque estão listadas abaixo -
FRPWrapper.exe, que é uma DLL Go carregada na memória para estabelecer túneis reversos para RDP e um shell TCP bruto por meio do servidor FRP do operador.
RDPWrapper.exe, que permite sessões RDP simultâneas ilimitadas.
“O kit de ferramentas demonstra segurança operacional deliberada. Nenhum dos três binários hospedados contém endereços C2 codificados", disse Censys. "Toda a exfiltração de dados ocorre através do túnel FRP via RDP - o operador se conecta à área de trabalho da vítima e lê os dados do keylog através do canal nomeado ctrl. Essa arquitetura deixa artefatos forenses de rede mínimos em comparação com os padrões tradicionais de beacon C2."
“O kit de ferramentas CTRL demonstra uma tendência em direção a kits de ferramentas desenvolvidos especificamente para um único operador, que priorizam a segurança operacional em detrimento da variedade de recursos. Ao rotear toda a interação através de túneis reversos FRP para sessões RDP, a operadora evita os padrões de beacon detectáveis pela rede que caracterizam os RATs comuns."
Fonte: https://thehackernews.com
#samirnews #samir #news #boletimtec #kit #de #ferramentas #ctrl #russo #entregue #por #meio #de #arquivos #lnk #maliciosos #sequestra #rdp #por #meio #de #túneis #frp
🚀 Mais conteúdos incríveis estão por vir, fique atento!
Postar um comentário