Remote Access Trojan (RAT): O que é e como se proteger?

O que é um Trojan de Acesso Remoto (RAT)?

O acesso e o controle remotos de computadores não são totalmente criminosos. Durante anos, ferramentas para acessar computadores e servidores remotamente – como o Remote Desktop Protocol (RDP) da Microsoft e o TeamViewer – acessaram computadores e controlaram servidores remotamente para que pudessem trabalhar fora do escritório ou fornecer suporte técnico ao usuário.

Com o aumento do trabalho remoto durante a pandemia da COVID-19 e a escalabilidade exigida pela globalização e pela transformação digital, o uso de ferramentas de acesso remoto teve um aumento significativo. No entanto, o uso de acesso e controle remotos para fins nefastos também está se tornando mais comum.

Os cavalos de Troia de acesso remoto (RATs) são uma ameaça considerável para as organizações em todo o mundo. Os hackers de RATs desenvolveram diversas variedades de cavalos de Troia, e as equipes de segurança e os desenvolvedores de software antivírus estão trabalhando duro para acompanhá-los.

Mas o que é um RAT e como ele funciona? Mais importante ainda, como você pode detectar uma infecção por RAT ou proteger os recursos organizacionais para que não sejam infectados?

De acordo com a definição de Trojan de Acesso Remoto, um RAT é uma forma de malware que fornece ao criminoso acesso remoto e controle do computador ou servidor infectado. Depois que o hacker obtém acesso, ele pode usar a máquina infectada para várias atividades ilegais, como coleta de credenciais do teclado ou da área de transferência, instalação ou remoção de software, roubo de arquivos e sequestro da webcam. O hacker pode fazer tudo isso sem o consentimento ou o conhecimento do proprietário.

Entretanto, nem todo acesso remoto é ilegal. Portanto, para diferenciar, os profissionais usam “ferramentas de acesso remoto” para fins de acesso legítimo e o termo “Trojan de acesso remoto” para acesso e controle criminosos.

O nascimento e a ascensão do RAT

A designação “Trojan” faz referência ao cavalo de Troia mitológico usado para conquistar Troia na Guerra de Troia. De acordo com a mitologia grega, os gregos deixaram esse cavalo gigante e oco como oferenda à deusa Atena. No entanto, os soldados gregos estavam escondidos em seu ventre. Quando o cavalo de Tróia entrou na cidade, os soldados devastaram a cidade de Tróia.

Da mesma forma, um RAT engana os destinatários para que “convidem” o software mal-intencionado a entrar em seus computadores. Uma vez instalado, ele fornece acesso ao hacker da RAT. As RATs apareceram pela primeira vez nos anos 90, após a criação das primeiras ferramentas legítimas de acesso remoto em 1989.

A intenção inicial era lúdica, e alguns viam as RATs como um ritual de iniciação para jovens hackers. O acesso remoto permitia que os hackers simplesmente mudassem o plano de fundo da tela ou fizessem a bandeja de CD entrar e sair. No entanto, com o tempo, surgiram RATs mais sofisticadas e a intenção se tornou mais maliciosa. Em 2010, surgiram tipos mais maliciosos de malware, como DarkComet, Gh0st e PoisonIvy. Então, de 2010 a 2019, RATs com recursos mais potentes entraram em cena, e os sistemas operacionais visados se expandiram do Windows para incluir sistemas operacionais móveis como Android e iOS.

Como funciona um Trojan de acesso remoto (RAT)?

O malware RAT funciona exatamente como as ferramentas de acesso remoto não maliciosas. A diferença é que as RATs são projetadas para permanecerem ocultas e realizarem tarefas sem o consentimento ou o conhecimento do proprietário do dispositivo. Para instalar uma RAT em uma máquina, o hacker deve primeiro enganar o proprietário para que ele faça o download do software. O malfeitor pode enviar um anexo de e-mail ou um link para um site aparentemente legítimo no qual o usuário pode baixar o software.

O aplicativo baixado imita um aplicativo de acesso remoto confiável, mas, uma vez instalado, ele não aparece em nenhuma lista de software ativo ou de processos em execução. Isso significa que uma RAT pode residir em um computador ou servidor mal protegido por um longo tempo sem ser detectada.

As RATs são particularmente perigosas porque dão ao hacker controle administrativo completo. Como resultado, os invasores podem usar a máquina ou a rede infectada como um servidor proxy para cometer crimes de forma anônima. Às vezes, as RATs são combinadas com um keylogger para aumentar as chances de o hacker obter informações confidenciais ou detalhes de login. Como o hacker tem acesso à câmera e ao microfone do usuário desavisado, a privacidade da vítima também fica completamente comprometida.

Quem são os alvos de um Trojan de acesso remoto (RAT)?

Embora qualquer pessoa possa ser alvo de um RAT, os hackers provavelmente se concentrarão em organizações que geram ganhos financeiros, políticos ou de informações. As pessoas físicas também podem ser alvos, mas os ataques mais lucrativos são contra governos ou corporações.

Financeiro: os hackers usam RATs para atacar instituições financeiras ou corporações em busca de dinheiro.

Político: os hackers acessam informações confidenciais, manipulam resultados de eleições ou controlam sistemas nacionais, como telecomunicações, sistemas de tráfego de rede ou serviços públicos.

Informações: Os dados podem ser tão valiosos, ou até mais valiosos, do que a moeda. Os hackers tentarão acessar informações, excluir arquivos e até mesmo vender dados confidenciais para roubo de identidade, espionagem corporativa ou manipulação política.

Como os criminosos cibernéticos usam as RATs contra uma empresa?

Um ataque de RAT a uma organização geralmente começa com outra forma de ataque cibernético, como malspam, phishing ou spear phishing, ou algum outro tipo de campanha de engenharia social. Primeiro, o hacker precisa que o destinatário instale involuntariamente o software RAT e, por isso, usa essas táticas enganosas criadas para evitar levantar suspeitas.

Por exemplo, como as empresas provavelmente se comunicam principalmente por e-mail, o hacker pode enviar um e-mail de aparência legítima com um documento PDF ou Word anexado. Quando o funcionário abre o anexo ou clica no link, a RAT é instalada. A RAT se disfarça usando os mesmos serviços RDP que as ferramentas legítimas de acesso remoto usam. Como a infecção pode passar despercebida por um longo período, as RATs são potencialmente catastróficas para as empresas.

Ataques recentes de RATs

Os agentes de ameaças têm implementado diferentes ataques de RAT nos últimos anos, inclusive ao longo de 2022.

Um grupo de hackers chamado RomCom lançou ataques RAT no final de 2022, fazendo-se passar por produtos populares, como o SolarWinds Network Performance Monitor e o PDF Reader Pro.
Um cavalo de Troia de acesso remoto chamado Alchimist teria atacado sistemas Linux, macOS e Windows em outubro de 2022. O Alchimist pode fornecer malware, fazer capturas de tela e realizar outras atividades mal-intencionadas.
Um RAT recentemente projetado, chamado Cloud9, invade o navegador Chrome. Ele rouba contas on-line e direciona o navegador de um usuário para ataques de negação de serviço distribuído (DDoS).

Como detectar uma infecção por um Trojan de acesso remoto (RAT)?

As pessoas que estão tentando descobrir como detectar um software RAT podem se sentir confortadas pelo fato de que até mesmo profissionais treinados e softwares antimalware podem deixar passar uma infecção por Trojan, mas há sinais que podem ser observados:

Atraso geral: Os RATs executados em segundo plano podem ser invisíveis, mas consomem poder de processamento. Portanto, se o seu computador ou sistema estiver sendo executado de forma anormalmente lenta, é prudente fazer uma varredura em busca de cavalos de Troia.
Falha no software antivírus: Um programa antivírus que trava constantemente ou responde lentamente também pode indicar uma infecção.
Arquivos irreconhecíveis: Fique atento a arquivos ou programas estranhos que você não baixou ou instalou intencionalmente.
Redirecionamentos de site ou falta de resposta: Redirecionamentos constantes e páginas da Web que não carregam também podem ser um sinal revelador de uma infecção por RAT.
Webcam em uso: A maioria dos computadores vem com uma luz indicadora de webcam. A luz indicadora acende quando você usa um programa que acessa a webcam, como um aplicativo de videoconferência. Portanto, tome cuidado com o acendimento da luz sem motivo aparente.

Esses sintomas não são exclusivos, e uma RAT pode causar qualquer um deles, todos eles ou nenhum. Somente varreduras muito específicas e completas podem revelar uma infecção, portanto, prevenir é sempre melhor do que remediar.

Tipos comuns de Trojan de acesso remoto (RAT)

Há muitos tipos diferentes de RATs. Aqui estão alguns exemplos bem conhecidos e suas origens:

Back Orifice
Desenvolvido pelo Cult of the Dead Cow, esse RAT localiza e tem como alvo deficiências no sistema operacional Windows.

Beast
Embora tenha sido desenvolvido em 2002, o Beast ainda é amplamente usado contra sistemas Windows antigos e novos. Ele usa uma arquitetura cliente-servidor semelhante à do Back Orifice.

Blackshades
O Blackshades é um RAT de autopropagação que se espalha enviando links para os contatos de mídia social do usuário infectado. Em seguida, o hacker usa as máquinas infectadas como um botnet para lançar ataques de negação de serviço (DoS).

CrossRAT
Uma infecção por CrossRAT é especialmente difícil de detectar, e essa RAT pode ter como alvo sistemas Linux, macOS, Solaris ou Windows.

Miragem
Um malware de ameaça persistente avançada (APT) lançado por um grupo de hackers chinês patrocinado pelo Estado, o principal objetivo do Mirage é a exfiltração de dados. Geralmente é usado contra alvos governamentais e militares.

Saefko
Esse RAT visa especificamente os históricos de navegador dos usuários do Chrome para roubar dados de transações de criptomoedas.

Diferença entre um RAT e um keylogger

Embora os malfeitores frequentemente usem keyloggers e RATs em conjunto, eles não são a mesma coisa. As RATs são tipos de infecções por malware destinadas ao acesso e controle remotos não autorizados. Os keyloggers são mais específicos em sua função, registrando as teclas digitadas para roubar credenciais ou outros dados confidenciais.

Os keyloggers podem vir na forma de software ou hardware. Nem todos são ilegais, pois alguns dispositivos os possuem para segurança ou manutenção. Os keyloggers ilegais geralmente podem ser descobertos procurando-se atividades suspeitas nos processos em execução. As RATs, por outro lado, são mais difíceis de descobrir e podem ser usadas para uma gama muito mais ampla de atividades ilegais.

Como se proteger dos Trojans de acesso remoto (RATs)?

Os RATs são desenvolvidos e projetados para obter acesso não autorizado ao sistema, “convencendo” as vítimas a instalar um programa de malware. Em seguida, eles evitam a detecção pelo maior tempo possível. Como eles geralmente pegam carona em programas ou produtos confiáveis, o que você pode fazer para proteger sua organização contra infecções?

Aqui estão algumas dicas:

Priorize o monitoramento do comportamento do usuário usando um sistema de detecção de intrusão (IDS)
Mantenha seu software antivírus atualizado
Treine os membros da equipe para pensar antes de clicar
Nunca faça download de software de fontes não confiáveis
Proteja seu aplicativo de e-mail com filtragem adequada
Proteja o acesso remoto usando gateways seguros
Concentre suas estratégias de segurança em possíveis vetores de ataque de RAT, como malware, phishing, spear phishing e processos de navegação não seguros.
Implemente princípios de segurança de confiança zero.
Saiba mais.

Fonte

https://www.fortinet.com/lat/resources/cyberglossary/remote-access-trojan

Douglas Bernardini

Cybersecurity Specialist & Cloud Computing Expert with +10 years experience in IT infrastructure.

Specialist delivering assets for development teams in Google Cloud Platform (GCP) and Amazon web services (AWS)

Hands-on cloud security enterprise architect, with experience in SIEM/SOC, IAM, cryptography, pentest, network topologies, operating systems, databases, and applications.

Experience in DevSecOps analysis to discover vulnerabilities in software, identifying CI/CD risks gaps and recommending secure-coding process (S-SDLC).

Cookie	Duração	Descrição
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.