Quasar RAT
Quasar RAT
Embedded Files
Quasar v1.3.0.0 - Trojan de Acesso Remoto
Clique no botão a baixo para fazer sua aquisição! ..
O que é?
O que é?
O Quasar RAT, um trojan de acesso remoto de código aberto, foi observado utilizando a técnica de carregamento lateral de DLL para operar de forma furtiva em sistemas Windows comprometidos.
Visão geral do Quasar RAT
Visão geral do Quasar RAT
Também conhecido como CinaRAT ou Yggdrasil, o Quasar RAT é uma ferramenta de administração remota baseada em C# capaz de coletar informações do sistema, listar aplicações em execução, capturar teclas pressionadas, tirar capturas de tela e executar comandos de shell arbitrários.
Quando o arquivo binário é executado, ele inicia o carregamento de um arquivo intitulado “MsCtfMonitor.dll” através da técnica de carregamento lateral de DLL, dentro do qual o código malicioso está oculto.
O código oculto é outro executável, “FileDownloader.exe”, que é injetado no Regasm.exe, a Ferramenta de Registro de Montagem do Windows, para lançar a próxima etapa, um arquivo calc.exe legítimo que carrega o Secure32.dll desonesto novamente através do carregamento lateral de DLL e lança a carga útil final do Quasar RAT.
A identidade do ator de ameaças e o vetor de acesso inicial exato usado para realizar o ataque são incertos, mas é provável que sejam disseminados por meio de e-mails de phishing.
Quasar é uma ferramenta de acesso remoto inicialmente desenvolvida como uma utilidade legítima para Windows para suporte ao usuário e monitoramento de funcionários. Na verdade, o desenvolvedor promove Quasar como uma solução de acesso remoto fácil de usar e altamente estável para administradores, que é compatível com a maioria das versões do Windows. A primeira variante desta ferramenta foi lançada em julho de 2014 e denominada “xRAT”, entretanto, em 2015 foi renomeada como Quasar, presumivelmente na tentativa de distinguir o software legítimo de seus irmãos maliciosos.
Após a ferramenta ser lançada no GitHub para download gratuito em 2015, atores de ameaças voltaram sua atenção para esta solução multifuncional e personalizável. Por exemplo, em 2017, o grupo Gaza Cybergang utilizou o Quasar RAT para atacar governos em todo o Oriente Médio. Em 2018, foi utilizado pelo Patchwork APT para atacar os think tanks dos EUA. Em 2019, o malware foi detectado em uma campanha maliciosa sofisticada contra o governo da Ucrânia e suas forças militares. Finalmente, no final de 2020, pesquisadores revelaram uma operação duradoura do ATP10 direcionada a empresas líderes de mercado no Japão. Notavelmente, o grupo APT10 patrocinado pelo estado chinês (Cicada, Stone Panda) adicionou o Quasar ao seu conjunto de ferramentas já em 2016, usando permanentemente suas versões personalizadas para roubar dados.
A campanha mais recente do APT10 usou o Quasar RAT para atacar grandes fornecedores automotivos, farmacêuticos e de engenharia no Japão. As subsidiárias localizadas em 17 regiões ao redor do mundo também estavam sob ataque visando fins de reconhecimento. Os atores de ameaças usaram uma versão personalizada da ameaça, que difere ligeiramente de sua predecessora. Particularmente, os adversários adicionaram a habilidade de baixar módulos de plugins adicionais, o que torna o malware facilmente adaptável para metas em constante mudança. Além disso, as rotinas de comunicação e criptografia foram alteradas.
Quasar RAT: Cadeia de Ataque
Como o Quasar RAT é amplamente adotado por diferentes hackers, desde script-kiddies até APTs, muitas de suas versões personalizadas podem ser encontradas no cenário de ameaças cibernéticas. A lista de sucessores inclui CinaRAT, QuasarStrike, VenomRAT, VoidRAT, AsyncRAT e muitos mais. No entanto, a maioria das amostras maliciosas seguem a mesma rotina de ataque. O Quasar é tipicamente entregue com a ajuda de emails de spam ou phishing que possuem arquivos maliciosos anexados. Tal abordagem é razoável, pois o Quasar não inclui quaisquer exploits de vulnerabilidades. Os hackers precisam aplicar outro malware ou técnicas para comprometer a instância alvo antes de usarem o Quasar.
Após a execução, o Quasar RAT alcança persistência usando dois métodos: tarefas agendadas e chaves de registro. Além disso, o Trojan eleva seus privilégios lançando um prompt de comando (cmd.exe) como administrador. Caso o Controle de Conta do Usuário do Windows (UAC) esteja configurado, o malware aciona um pop-up do UAC pedindo às vítimas para aceitar o prompt de comando. Finalmente, o Quasar RAT inicia suas atividades de roubo de dados. O Trojan tem uma funcionalidade bastante ampla que inclui gerenciamento de tarefas e arquivos, download de arquivos, encerramento de conexões, finalização de processos, execução de comandos, abertura de conexões de desktop remoto, captura de tela, gravação de webcam, registro de teclas, despejo de senhas e mais.
Detecção do Quasar
A regra possui tradução para as seguintes plataformas: SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, LogPoint, Humio, RSA NetWitness, FireEye Helix
MITRE ATT&CK: Táticas: Execução, Persistência, Escalada de Privilégio
Técnicas: Tarefa Agendada (T1053)
O Pacote Inclui:
Apk para instalação (Quasar)
Não possui manual de instalação
Senha para descompactar arquivo
UTILIZE SOMENTE EM MAQUINA VIRTUAL
Page updated
Google Sites
Report abuse