Neptune RAT espalhado através do YouTube, Telegram e GitHub

Pesquisadores da empresa de cibersegurança CYFIRMA descobriram um novo e altamente sofisticado malware, conhecido como Neptune RAT, que está se espalhando rapidamente por plataformas sociais como GitHub, Telegram e YouTube, representando uma ameaça significativa para usuários do Windows em todo o mundo, tanto indivíduos quanto organizações.

Este Trojan de Acesso Remoto (RAT), também descrito como o “RAT Mais Avançado”, está equipado com um conjunto de recursos maliciosos, incluindo um clipper de criptomoedas, um coletor de senhas, destruição de sistemas, implantação de ransomware, monitoramento de desktop ao vivo e a capacidade de desativar software antivírus, etc., tornando-se uma ameaça extremamente séria.

Canais de Distribuição e Método de Infecção

De acordo com a CYFIRMA, os criadores do Neptune RAT (escrito em Visual Basic .NET) disponibilizaram a versão mais recente do software gratuitamente em plataformas sociais sem código-fonte. Os desenvolvedores deliberadamente ofuscaram arquivos executáveis para dificultar a análise do malware.

Embora o desenvolvedor o apresente como uma versão gratuita e afirme que é destinado a “fins educacionais e éticos”, eles insinuam uma versão mais avançada e paga disponível atrás de um paywall, levantando preocupações significativas de segurança, dado como está sendo distribuído e potencialmente mal utilizado.

O Neptune RAT tem a capacidade de gerar comandos PowerShell diretos (usando irm e iex), permitindo entrega e execução sem interrupções. Ele usa plataformas como GitHub e APIs como catbox.moe para hospedar scripts e arquivos maliciosos. Além disso, a integração de caracteres árabes e emojis para substituir as strings originais torna a análise ainda mais difícil.

Capacidades do Malware

O Neptune RAT possui várias características perigosas, como:

Roubo de Credenciais: É capaz de extrair credenciais ou detalhes de login de mais de 270 aplicativos, incluindo navegadores da web, redes sociais e plataformas financeiras.

Clipping de Criptomoeda: Monitora a atividade da área de transferência para detectar endereços de carteira de criptomoedas e os substitui por aqueles controlados pelos atacantes, redirecionando fundos sem o conhecimento da vítima.

Implantação de Ransomware: Uma vez ativado, o Neptune RAT criptografa arquivos no sistema da vítima e exige um resgate pela liberação deles, efetivamente mantendo os dados como reféns.

Destruição do Sistema: Contém funcionalidades que podem até corromper componentes do sistema, como o Registro de Inicialização Principal, tornando o dispositivo infectado inoperável.

Técnicas de Evasão: Emprega métodos anti-análise, como detecção de máquina virtual (VM), e estabelece múltiplos métodos de persistência através de modificações no registro e no Agendador de Tarefas para garantir que possa manter controle a longo prazo sobre sistemas comprometidos.

Medidas de Proteção

Para se proteger contra qualquer ameaça potencial do Neptune RAT, tanto indivíduos quanto organizações podem seguir medidas de proteção, como evitar baixar software ou clicar em links de fontes não confiáveis, especialmente em plataformas como GitHub, Telegram e YouTube;

Certifique-se de atualizar regularmente o Windows e todos os aplicativos instalados para corrigir vulnerabilidades conhecidas; utilize software antivírus e anti-malware respeitáveis que possam detectar e bloquear ameaças avançadas.

Faça backup regularmente de dados críticos para garantir a recuperação em caso de um ataque; e mantenha-se informado sobre ameaças emergentes e pratique hábitos seguros de navegação e download.

Para mais informações sobre o Neptune RAT, você pode conferir o site da CYFIRMA aqui.