A análise mostra como uma amostra de DarkRat usava Pastebin para derivar o endereço de C&C e como vendedores em fórum revendiam acesso a fluxos do RIG Exploit Kit para distribuir binários de clientes.
| Componente | DarkRat distribuído por fluxos do RIG Exploit Kit, com uso de Pastebin para obter material usado na comunicação com C&C. |
| Vetor | Distribuição por serviço de exploit kit revendido em fórum clandestino, com clientes recebendo acesso a painéis, estatísticas públicas e fluxos de entrega de binários. |
| Impacto | Execução de loader/RAT em máquinas infectadas, envio de informações do sistema ao C&C e recebimento de URL para download de binário adicional. |
| Prioridade | Procurar tráfego HTTP para Pastebin usado como estágio de configuração, requisições Base64 para C&C, acesso a domínio C2 defangado e downloads de binários por hosts de usuário. |
| Artefatos | Amostra sem empacotamento, sem ofuscação relevante e sem técnicas observadas de anti-debugging ou evasão de sandbox. |
| IoCs | Exemplos defangados citados: pastebin[.]com/RCw33291 e hxxp://advcash[.]network/bin.exe. |
| Limite | A evidência descreve distribuição, comunicação e revenda do serviço; não sustenta, por si só, vazamento de dados ou movimentação lateral. |
A investigação descreve uma cadeia de distribuição de malware em que o RIG Exploit Kit aparece como infraestrutura comercializada para terceiros, não apenas como ferramenta operada por um único grupo. O caso parte de uma amostra detectada como maliciosa, mas sem nome de família atribuído de forma específica, e avança até conversas, disputas e anúncios em fórum clandestino que conectam a amostra ao ecossistema de revenda. O binário analisado foi associado ao DarkRat e apresentava baixo nível de maturidade técnica: não estava empacotado, não tinha ofuscação relevante e não continha mecanismos observados de anti-debugging ou evasão de sandbox. Esse perfil reduz a sofisticação do payload, mas não reduz o risco operacional, porque a entrega por exploit kit permite que operadores menos experientes usem infraestrutura já pronta para instalar binários em vítimas.
O elemento central da cadeia é a separação entre quem mantém ou acessa o RIG Exploit Kit, quem revende esse acesso e quem compra a distribuição de seus próprios binários. O vendedor identificado pelo alias rbtmarty aparecia oferecendo bots e fornecendo a clientes acesso a painel de controle, credenciais padrão e links de estatísticas públicas relacionados aos fluxos do RIG. Outro alias, Dark Spider, foi associado à venda do DarkRat, sugerindo que rbtmarty teria adquirido ou usado um builder para empacotar o serviço como uma oferta própria. O achado ilustra um mercado em camadas: um operador pode comprar conta anônima, ferramenta RAT, builder e acesso a exploit kit, combinando esses componentes para criar uma operação de distribuição sem desenvolver todos os elementos técnicos.
A amostra analisada continha strings que chamaram atenção durante a análise estática. Uma delas apontava para um endereço do Pastebin, e o conteúdo recuperado era uma sequência codificada em Base64. A decodificação direta não produzia texto legível, o que levou à hipótese de que aquele valor não era a configuração final em claro, mas material usado para derivar uma chave. A outra string tinha aparência de identificador ou hash, e buscas por esse valor levaram a conversas públicas entre compradores e vendedores, conectando o binário à oferta comercial em fórum. Esse encadeamento é relevante para defesa porque mostra que artefatos aparentemente pouco úteis dentro do binário, como links de paste e identificadores únicos, podem servir para pivotar de uma amostra isolada para infraestrutura, painel, vendedor e modelo de distribuição.
Na execução dinâmica, o fluxo observado indicava que o binário consultava o Pastebin para obter um valor codificado, derivava a partir dele o endereço do servidor de comando e controle e então fazia uma requisição HTTP com dados do host infectado. A requisição enviada ao C&C continha informações codificadas em Base64; na versão mais nova descrita, os dados eram codificados duas vezes, possivelmente como tentativa simplista de ocultação. A resposta do C&C era em texto claro e retornava uma URL de download para outro binário, citada como hxxp://advcash[.]network/bin.exe. Do ponto de vista defensivo, esse desenho cria três pontos observáveis: acesso ao serviço de paste, tráfego HTTP para domínio C2 e posterior tentativa de baixar um executável.
A comparação com código-fonte vazado de versão anterior do DarkRat mostrou mudança na forma de armazenar a configuração. Na versão 2.0, o Pastebin continha diretamente a URL do C&C em texto claro. Na amostra analisada, identificada como versão 2.1.3, o Pastebin passou a armazenar material usado para derivar o endereço do C&C. Essa alteração não representa uma proteção robusta, mas dificulta a extração imediata da configuração apenas por leitura superficial do paste. A ausência de empacotamento e ofuscação no binário, porém, mantém a barreira de análise baixa para equipes de engenharia reversa e resposta a incidentes.
A superfície exposta inclui usuários finais navegando em ambientes vulneráveis explorados pelo RIG Exploit Kit, endpoints capazes de executar o binário entregue e organizações sem controle efetivo sobre tráfego HTTP de saída para serviços de paste, domínios recém-observados ou downloads de executáveis. O contexto não específica aplicações ou versões exploradas pelo RIG nesse caso, portanto a avaliação defensiva deve se concentrar na telemetria de entrega e execução, não em uma lista inventada de CVEs. Como o serviço era revendido em fluxos diferentes, a mesma infraestrutura de exploit kit podia entregar binários variados de múltiplos clientes, incluindo famílias conhecidas e payloads menos profissionais como DarkRat.
O modelo de negócio amplia a exposição porque reduz o custo de entrada para operadores com pouca capacidade técnica. O comprador não precisa desenvolver exploit, painel ou loader completo; ele pode contratar distribuição, receber estatísticas e apontar a campanha para o binário desejado. Para defensores, isso significa que a qualidade do malware não é um indicador confiável de baixo risco. Um RAT simples, mal escrito e sem evasão ainda pode chegar ao endpoint por uma cadeia de exploração terceirizada, e a investigação precisa tratar a infraestrutura de entrega, o C&C e o payload como camadas separadas.
- Endpoints de usuários que executaram binários entregues por fluxo do RIG Exploit Kit.
- Ambientes com tráfego de saída permitido para serviços de paste e domínios HTTP controlados por operadores.
- Contas ou estáções com capacidade de baixar e executar executáveis recebidos após a comunicação inicial com C&C.
- Equipes que dependem apenas do nome de família atribuído por antivírus podem perder amostras detectadas genericamente como maliciosas.
O hunting deve começar por correlação temporal entre acesso a Pastebin, conexões HTTP subsequentes para domínio incomum e download de executável por processo de usuário. Como o uso de Pastebin pode ser legítimo em alguns ambientes, o sinal ganha força quando aparece em estáção sem perfil de desenvolvimento, seguido por tráfego Base64 em POST ou por resposta em texto claro contendo URL de binário. A amostra observada usa o paste como estágio de configuração, e não como canal de comando completo; portanto bloquear ou alertar apenas por acesso a Pastebin pode gerar ruído, mas combinar esse evento com criação de processo, escrita de executável e conexão a C&C aumenta a precisão.
Em endpoint, a ausência de empacotamento e técnicas de evasão favorece análise estática, extração de strings e detecção por comportamento. Equipes de DFIR devem procurar binários recém-criados sem assinatura confiável, execução a partir de diretórios de usuário ou temporários, conexões HTTP logo após inicialização do processo e presença de strings relacionadas a Pastebin, Base64 e endpoints de C&C. Em proxy, firewall e EDR, os registros mais úteis são URL acessada, método HTTP, tamanho de corpo, processo de origem, hash interno calculado pela própria organização e resposta contendo referência a download de executável. Não é necessário publicar nem distribuir PoC ou payload para validar a defesa; a validação pode ser feita com consultas sobre telemetria histórica e bloqueios controlados de egress.
Também é útil monitorar padrões comerciais do ecossistema clandestino quando a equipe possui função de inteligência de ameaças. Disputas, painéis expostos, páginas de estatísticas e aliases recorrentes podem conectar campanhas que parecem independentes. Neste caso, o identificador encontrado no binário levou a conversas entre comprador e vendedor e, depois, ao anúncio do serviço. Essa técnica de pivoteamento não deve ser confundida com atribuição conclusiva a um ator único; ela documenta relações operacionais e comerciais entre contas, ferramentas e infraestrutura.
- Acesso a pastebin[.]com/RCw33291 ou a pastes semelhantes imediatamente antes de conexão para C&C.
- POST HTTP com conteúdo codificado em Base64 enviado por processo recém-criado ou binário sem reputação.
- Resposta de C&C em texto claro contendo URL para download de executável adicional.
- Download de hxxp://advcash[.]network/bin.exe ou de artefatos com padrão equivalente em domínio C2 defangado.
- Execução de binário não empacotado com strings de configuração, paste e rede visíveis em análise estática.
A resposta defensiva deve priorizar contenção de endpoints que apresentem a sequência de acesso a paste, comunicação com C&C e download de executável. O host deve ser isolado para preservar evidências, e a equipe deve coletar binário, árvore de processos, conexões de rede, artefatos de persistência e histórico de navegação ou proxy no período de infecção. Como o contexto descreve envio de informações sobre a máquina e recebimento de novo binário, a mitigação precisa confirmar se houve apenas estágio inicial ou se o payload adicional foi baixado e executado. O impacto documentado deve permanecer nesse limite técnico: comunicação com C&C, perfilamento do host e entrega de binário adicional.
No perímetro e em egress, organizações devem revisar políticas que permitem tráfego HTTP irrestrito para serviços de paste e downloads executáveis sem inspeção. Bloqueios genéricos podem afetar uso legítimo, mas alertas de alta severidade são adequados quando um endpoint não administrativo consulta um paste e, em seguida, baixa um .exe de domínio sem reputação. No endpoint, controles de reputação, bloqueio de execução em diretórios de usuário, restrição por política de aplicação e inspeção comportamental reduzem a dependência de assinaturas por nome de família. Para ambientes com proxy autenticado, a correlação por usuário ajuda a identificar múltiplas estáções afetadas pela mesma navegação ou pelo mesmo fluxo de exploit kit.
A erradicação deve incluir remoção do binário inicial, verificação de payloads secundários, revisão de tarefas agendadas, chaves de inicialização, serviços criados e outros mecanismos de persistência compatíveis com RATs. As credenciais usadas no host devem ser avaliadas conforme a exposição real observada; o contexto não confirma roubo de credenciais, portanto a rotação deve ser orientada por evidências de acesso, execução de módulo adicional ou coleta de dados. Após a limpeza, a equipe deve retrocaçar indicadores de classe, não apenas os exemplos defangados, porque revendedores de exploit kit podem trocar domínio, paste e binário mantendo o mesmo padrão operacional.
- Isolar endpoints com cadeia observada de paste, C&C e download de executável.
- Bloquear ou alertar conexões para domínio C2 defangado e padrões equivalentes de entrega HTTP de binários.
- Consultar histórico de proxy, DNS, EDR e firewall para acessos a serviços de paste seguidos por requisições Base64.
- Validar se o binário adicional foi baixado, salvo e executado antes de encerrar o incidente.
- Aplicar controles de execução de aplicativos e reduzir permissão de execução em diretórios graváveis por usuário.
- Manter detecções comportamentais para revenda de exploit kit, tratando payload, infraestrutura e operador comercial como camadas distintas.
0 Comentários