Uma nova campanha cibernética revelou o uso de um toolkit de acesso remoto de origem russa que está sendo distribuído por meio de arquivos maliciosos do Windows no formato LNK, disfarçados como pastas de chaves privadas.

A técnica explora engenharia social para induzir usuários a executarem o arquivo, iniciando uma cadeia de ataque altamente sofisticada. Desenvolvido em .NET, o toolkit — denominado CTRL — foi projetado para executar múltiplas funções maliciosas, incluindo phishing de credenciais, keylogging, sequestro de sessões RDP e tunelamento reverso por meio da ferramenta Fast Reverse Proxy (FRP).

A cadeia de ataque começa com um arquivo LNK armado que, ao ser executado, dispara comandos ocultos em PowerShell e inicia um processo em múltiplas etapas. Cada fase descriptografa ou descompacta a próxima, até culminar na instalação completa do toolkit.

Durante esse processo, o malware remove mecanismos de persistência existentes, altera regras de firewall, cria usuários locais com backdoor e estabelece comunicação com servidores externos para download de cargas adicionais.

O controle do ambiente comprometido é então realizado por meio de túneis reversos via FRP, permitindo acesso remoto sem levantar suspeitas em sistemas de monitoramento tradicionais.

Um dos destaques da operação é o uso de técnicas avançadas para roubo de credenciais. O malware exibe uma interface falsa que imita o prompt de autenticação do Windows Hello, capturando o PIN do usuário com alto grau de realismo.

Mesmo quando o PIN é inserido corretamente, a interface permanece ativa, enganando a vítima enquanto registra as informações sensíveis em segundo plano. Além disso, um keylogger é ativado para registrar todas as teclas digitadas, ampliando ainda mais o potencial de coleta de dados.

Outro elemento sofisticado do toolkit é sua arquitetura de comunicação. Em vez de utilizar canais tradicionais de comando e controle (C2), o CTRL opera por meio de pipes nomeados no próprio sistema comprometido, mantendo o tráfego de comandos local.

A comunicação externa ocorre apenas via sessões RDP encapsuladas em túneis FRP, reduzindo significativamente os rastros forenses na rede. Essa abordagem dificulta a detecção por soluções convencionais de segurança, que normalmente monitoram padrões de beaconing em rede.

Além disso, o toolkit permite o envio de notificações falsas simulando navegadores populares como Chrome, Edge e Opera, com o objetivo de induzir novas interações maliciosas.

Outros componentes incluem ferramentas para habilitar múltiplas sessões RDP simultâneas e criar shells TCP acessíveis remotamente, consolidando um ambiente completo de controle para o invasor.

Especialistas apontam que esse tipo de toolkit representa uma tendência crescente no cibercrime: ferramentas altamente customizadas, desenvolvidas para uso por operadores individuais, com foco em furtividade e eficiência operacional.

Ao evitar padrões tradicionais de comunicação e priorizar técnicas que dificultam a análise forense, esses ataques elevam o nível de complexidade na detecção e resposta a incidentes.