Hacker espalham backdoor CABINETRAT e complementos XLL em ZIPs disfarçados no Signal

A Equipe de Resposta a Emergências de Computadores da Ucrânia (CERT-UA) emitiu um alerta urgente sobre uma nova onda de ataques cibernéticos direcionados no país. Os ataques utilizam um backdoor sofisticado denominado CABINETRAT, espalhado através de uma técnica de distribuição furtiva que explora o aplicativo de mensagens Signal.

A atividade, detectada em setembro de 2025, foi rastreada pelo CERT-UA a um cluster de ameaças conhecido como UAC-0245. A agência identificou que o ataque se inicia com a disseminação de ferramentas de software no formato de arquivos XLL, que são complementos (ou add-ins) legítimos do Microsoft Excel usados para estender a funcionalidade da planilha.

A investigação revelou que os arquivos XLL estão sendo distribuídos em arquivos ZIP no aplicativo Signal, habilmente disfarçados de um documento oficial sobre a detenção de indivíduos que tentaram cruzar a fronteira ucraniana.

Ao ser iniciado, o arquivo XLL é um mecanismo complexo de infecção. Ele cria múltiplos executáveis no host comprometido: um arquivo EXE na pasta de Inicialização, um arquivo XLL chamado "BasicExcelMath.xll" no diretório %APPDATA%\Microsoft\Excel\XLSTART\ e, notavelmente, uma imagem PNG chamada "Office.png".

O invasor utiliza modificações no Registro do Windows para garantir a persistência do executável. Em seguida, ele inicia o aplicativo Excel (excel.exe) em modo oculto, executando o suplemento XLL. O papel crucial deste XLL é analisar e extrair o código shell classificado como CABINETRAT de dentro da imagem "Office.png", demonstrando uma tática de esteganografia para ocultar a carga maliciosa.

Tanto a carga útil XLL quanto o shellcode do backdoor contam com uma série de procedimentos anti-VM (máquina virtual) e anti-análise projetados para evitar a detecção por sistemas de segurança e pesquisadores. Isso inclui a verificação da presença de softwares como VMware, VirtualBox, Xen, QEMU, Parallels e Hyper-V, além de requisitos mínimos de sistema (pelo menos dois núcleos de processador e 3 GB de RAM).

Escrito na linguagem de programação C, o CABINETRAT é um backdoor completo com vastas funcionalidades. Ele foi projetado para coletar informações do sistema, listar programas instalados, tirar capturas de tela, enumerar o conteúdo de diretórios, excluir arquivos ou diretórios específicos, executar comandos remotamente e realizar uploads e downloads de arquivos. Sua comunicação com um servidor remoto é feita através de uma conexão TCP.

A divulgação deste alerta pela CERT-UA ocorre poucos dias após o laboratório Fortinet FortiGuard Labs ter alertado sobre outros ataques direcionados à Ucrânia, que se passavam pela Polícia Nacional em uma campanha de phishing sem arquivo. Essa campanha anterior utilizava o stealer Amatera e o minerador PureMiner para roubar dados confidenciais e minerar criptomoedas de sistemas afetados, sublinhando a intensidade e a diversidade das ameaças que o país enfrenta.

Via - THN