Persistência

O Atroposia é um novo trojan de acesso remoto (RAT) que vem ganhando popularidade em fóruns underground, sendo oferecido como um kit de ferramentas de cibercrime acessível e modular. Com um custo de aproximadamente R$ 1.000 por seis meses, ele é projetado para atacantes com pouca ou nenhuma habilidade técnica. Entre suas funcionalidades, destaca-se o HRDP Connect, que permite acesso remoto invisível ao desktop da vítima, possibilitando que os atacantes interajam com o sistema sem serem detectados. Além disso, o Atroposia inclui um módulo de escaneamento de vulnerabilidades, que identifica falhas em sistemas comprometidos, e mecanismos robustos de persistência que garantem a continuidade do acesso mesmo após reinicializações. Outro recurso preocupante é a captura do conteúdo da área de transferência, que pode extrair informações sensíveis em tempo real. O uso de técnicas como o sequestro de DNS para redirecionar tráfego também é uma ameaça significativa, permitindo ataques de phishing e comprometimento de redes. A Varonis alerta que a evolução de ferramentas como o Atroposia representa um desafio crescente para a segurança cibernética, exigindo que as empresas adotem análises comportamentais avançadas para detectar atividades suspeitas.

O malware Backdoor.Win32.Buterat representa uma ameaça significativa para redes empresariais e governamentais, utilizando técnicas avançadas de furtividade e comunicação adaptativa para garantir controle a longo prazo sobre sistemas comprometidos. Diferente de malwares comuns que visam destruição rápida ou roubo massivo de dados, o Buterat foca na persistência encoberta e no acesso remoto, permitindo que operadores expandam sua presença, implantem cargas secundárias e coletem informações sensíveis sem serem detectados.

Após ser entregue, geralmente por meio de e-mails de spear-phishing ou downloads de software comprometido, o Buterat inicia sua execução em um ponto de entrada oculto e disfarça suas threads sob processos legítimos do sistema. O uso de chamadas de API ofuscadas e a modificação de chaves de registro garantem que o malware permaneça ativo mesmo após reinicializações. Além disso, a comunicação com o servidor de comando e controle (C2) é criptografada, dificultando a detecção por sistemas de monitoramento de rede.