Transparent Tribe lança novo ataque RAT à Índia

Transparent Tribe, grupo APT conhecido por espionar órgãos indianos, iniciou uma campanha com um novo trojan de acesso remoto (RAT) que garante controle persistente sobre máquinas comprometidas, segundo relatório da CYFIRMA.

Entenda a técnica do ataque

O golpe começa com spear phishing: o alvo recebe um arquivo ZIP que contém um atalho do Windows (LNK) disfarçado de PDF legítimo. Ao clicar, o atalho executa um script HTA via “mshta.exe”, que carrega o RAT inteiramente na memória — estratégia que evita deixar rastros no disco e dificulta a detecção.

Para não levantar suspeitas, o mesmo HTA exibe um PDF de isca enquanto, em segundo plano, decodifica a carga maliciosa. O DLL “iinneldc.dll” entra em ação como RAT completo: permite controle remoto, exfiltra arquivos, tira screenshots, manipula a área de transferência e executa processos.

Detalhes técnicos adicionais, bem como amostras da ferramenta, foram divulgados pelo site de segurança The Hacker News.

Adaptação para driblar antivírus

Um diferencial da campanha é a análise do ambiente antes de se instalar. Caso detecte antivírus:

Você também pode gostar

Por que a Stripes Nude é a Melhor Cadeira Diretor em Termos de Design e Ergonomia

Cadeira Diretor Kopenhagen Couro Branco Cromada: O Símbolo de Status no Escritório

Cadeira Diretor Gomos Branca Home Office Giratória: Estilo e Conforto

Imagem: Internet

• Kaspersky: cria pasta “C:UsersPubliccore”, grava o HTA ofuscado e adiciona atalho na pasta “Startup”.
• Quick Heal: usa arquivo BAT mais atalho malicioso para iniciar o HTA.
• Avast, AVG ou Avira: copia diretamente o payload para a pasta “Startup”.
• Sem antivírus conhecido: combina script BAT, chaves de Registro e cópia do payload.

Se o usuário abrir o falso PDF “NCERT-Whatsapp-Advisory.pdf.lnk”, outro loader em .NET baixa o instalador “nikmights.msi”, que extrai novos executáveis, mantém persistência no Registro e se comunica com o domínio “dns.wmiprovider.com”. Até o momento, o C2 está inativo, mas a persistência permite reativar a ameaça a qualquer momento.

Por que isso importa para gamers e profissionais de PC?

Embora o foco seja governo e universidades, a engenharia social usada — atalhos LNK com nome de documento — pode ser adaptada para qualquer cenário. Usuários que baixam drivers, FPS mods ou “cracks” em fóruns correm risco semelhante. Manter o sistema e o antivírus atualizados, monitorar processos desconhecidos e desconfiar de arquivos ZIP recebidos por e-mail são boas práticas para proteger seu setup.

Quer aprofundar seu conhecimento sobre segurança e otimização de PCs? Visite nossa página inicial da Games In e continue acompanhando dicas exclusivas para montar o setup perfeito.

Crédito da imagem: The Hacker News Fonte: The Hacker News