kkRAT usa protocolos de rede para exfiltrar dados da área de transferência

BR Defense Center (By River de Morais e Silva)
malware

Pesquisadores do Zscaler ThreatLabz identificaram uma campanha de malware sofisticada que visa usuários de língua chinesa desde maio de 2025, introduzindo uma nova família de Trojans de Acesso Remoto (RAT) chamada kkRAT. Os atacantes utilizam sites de phishing hospedados no GitHub Pages, disfarçando-se como instaladores de software legítimos para distribuir arquivos ZIP maliciosos. Esses arquivos contêm um executável benigno e uma DLL maliciosa que carrega o payload final, que pode ser ValleyRAT, FatalRAT ou kkRAT, dependendo do caso.

O ataque começa com páginas de phishing que imitam aplicativos populares, como o Ding Talk. Após a execução, o malware realiza verificações rigorosas para detectar ambientes de virtualização. Se passar, ele carrega um shellcode que eleva privilégios e desativa adaptadores de rede para evitar comunicação com soluções de segurança. O kkRAT se comunica com seu servidor de comando e controle (C2) usando um protocolo que inclui criptografia XOR, permitindo a exfiltração de dados da área de transferência, especialmente endereços de criptomoedas, substituindo-os por carteiras controladas pelos atacantes. Essa funcionalidade multifacetada torna o kkRAT uma ferramenta poderosa para espionagem e fraudes financeiras, com capacidade de persistência e evasão de defesas robustas.

Fonte: https://cyberpress.org/kkrat-clipboard-exfiltration/

⚠️
BR DEFENSE CENTER: SECURITY BRIEFING
11/09/2025 • Risco: ALTO
MALWARE

kkRAT usa protocolos de rede para exfiltrar dados da área de transferência

RESUMO EXECUTIVO
O kkRAT representa uma ameaça significativa devido à sua capacidade de exfiltrar dados sensíveis e contornar defesas de segurança. A utilização de técnicas de phishing e a manipulação de dados da área de transferência para fraudes financeiras são preocupações que exigem atenção imediata dos líderes de segurança.

💼 IMPACTO DE NEGÓCIO

Financeiro
Possíveis perdas financeiras significativas devido a fraudes e compromissos de dados.
Operacional
Exfiltração de dados da área de transferência, especialmente endereços de criptomoedas.
Setores vulneráveis
['Setores financeiros, tecnologia da informação, e-commerce.']

📊 INDICADORES CHAVE

Mais de 50 IDs de comando suportados pelo kkRAT. Indicador
62 registros de URLs para arquivos ZIP no downloader. Contexto BR
Detecção de processos de 360 Total Security e QQ电脑管家. Urgência

⚡ AÇÕES IMEDIATAS

1 Verificar logs de acesso e atividades suspeitas em sistemas que possam ter sido expostos a phishing.
2 Implementar filtros de segurança para bloquear sites de phishing e treinar usuários sobre práticas seguras de navegação.
3 Monitorar continuamente a atividade de rede para detectar comunicações com servidores C2 conhecidos.

🇧🇷 RELEVÂNCIA BRASIL

CISOs devem se preocupar com a evolução das técnicas de malware que podem comprometer a segurança de dados sensíveis, especialmente em um cenário de crescente uso de criptomoedas.

⚖️ COMPLIANCE

Implicações para a LGPD, especialmente no que diz respeito à proteção de dados pessoais e financeiros.
Status
ativo
Verificação
alta
BR Defense Center

Este conteúdo foi processado automaticamente pelo BR Defense Center (By River de Morais e Silva).