Pesquisadores de segurança cibernética identificaram uma nova ameaça digital em circulação: o ResolverRAT, um trojan de acesso remoto altamente furtivo. Seu principal alvo são organizações dos setores de saúde e farmacêutico ao redor do mundo, aproveitando-se de campanhas de phishing elaboradas para se infiltrar em redes corporativas.
Novo malware ResolverRAT compromete sistemas de saúde e farmacêuticos em escala global
Engenharia social adaptada por região
O ResolverRAT é distribuído por e-mails maliciosos que exploram alegações falsas de infrações legais ou de direitos autorais. Esses e-mails são traduzidos para o idioma local da vítima, aumentando a credibilidade do conteúdo e as chances de engajamento. Um link nesses e-mails direciona o usuário para o download de um executável aparentemente legítimo chamado hpreader.exe, que é utilizado como vetor para a injeção do malware na memória da máquina, via técnica de carregamento reflexivo de DLL.
Uma ameaça invisível e sofisticada
Descoberto pela equipe da Morphisec, o ResolverRAT havia passado despercebido em relatórios anteriores de empresas como a Check Point e a Cisco Talos, que se concentraram em outras ameaças, como os infostealers Rhadamanthys e Lumma. A nova análise revelou que o ResolverRAT é executado inteiramente na memória do sistema, utilizando eventos ‘ResourceResolve’ do .NET para carregar código malicioso sem chamar APIs suspeitas, dificultando sua detecção.
Esse uso inovador de recursos negligenciados da plataforma .NET mostra uma evolução notável no desenvolvimento de malware, que agora pode contornar sistemas tradicionais de monitoramento de segurança, como aqueles que observam chamadas Win32 ou modificações em arquivos.
Técnicas avançadas de evasão e persistência
O ResolverRAT incorpora uma máquina de estados para dificultar a análise estática do código, além de detectar ferramentas de sandboxing e análise por meio de fingerprinting de requisições. Mesmo quando executado em ambientes de depuração, o trojan utiliza código redundante e instruções falsas para confundir analistas.
Para garantir sua permanência no sistema comprometido, o malware cria entradas ofuscadas no Registro do Windows — até 20 locais diferentes — e se copia para pastas críticas do sistema, como “Inicialização”, “Program Files” e “AppData”.
Comunicação discreta e extração de dados
Ao se conectar aos servidores de comando e controle (C2), o ResolverRAT faz chamadas com intervalos aleatórios, dificultando a detecção com base em padrões de tráfego de rede. Cada comando recebido é processado em uma thread isolada, permitindo múltiplas execuções simultâneas e garantindo que falhas não comprometam o funcionamento do malware.
Um dos recursos mais notáveis do ResolverRAT é sua capacidade de exfiltrar dados de forma fragmentada. Arquivos com mais de 1 MB são divididos em partes de 16 KB antes de serem enviados, o que disfarça o tráfego malicioso e evita alarmes por grandes transferências. O malware ainda verifica se o soquete de rede está pronto antes de cada envio, oferecendo resiliência em ambientes de rede instáveis.
Escopo global em expansão
A Morphisec documentou campanhas de phishing associadas ao ResolverRAT em idiomas como italiano, tcheco, hindi, turco, português e indonésio, evidenciando um alcance internacional significativo. Esse cenário indica que o malware está sendo adaptado para atingir diferentes regiões e pode ser facilmente modificado para novos idiomas e países no futuro.