Um novo tipo de malware tem preocupado líderes de segurança da informação no mundo todo. Nomeado ResolverRAT, o trojan de acesso remoto foi recentemente identificado em campanhas de phishing altamente direcionadas contra empresas dos setores de saúde e farmacêutico, utilizando técnicas avançadas para evitar a detecção e garantir persistência no sistema das vítimas.
A ameaça, detectada pela Morphisec, revela uma nova evolução no uso de recursos pouco explorados da plataforma .NET, o que permite ao malware operar inteiramente na memória, evitando os mecanismos tradicionais de segurança que dependem da análise de chamadas de API do sistema operacional.
Distribuição global com campanhas em múltiplos idiomas
O ResolverRAT vem sendo distribuído por meio de campanhas de phishing altamente localizadas, com e-mails que simulam notificações de violação de direitos autorais ou ações judiciais. Esses e-mails são cuidadosamente adaptados ao idioma do país-alvo — já foram observadas versões em português, italiano, hindi, tcheco, turco e indonésio — o que demonstra um esforço claro dos operadores do malware em garantir máxima eficácia nos ataques.
As mensagens contêm links para o download de um executável legítimo, o ‘hpreader.exe’, que é utilizado como vetor para carregar o código malicioso do ResolverRAT diretamente na memória, utilizando a técnica conhecida como carregamento reflexivo de DLL (DLL reflective loading).
Execução furtiva e evasão avançada de segurança
O grande diferencial do ResolverRAT está na forma como ele se aproveita de eventos “ResourceResolve” do .NET para injetar código malicioso sem deixar rastros comuns em arquivos de sistema ou registros visíveis. Essa abordagem dispensa o uso de chamadas de API suspeitas, frequentemente monitoradas por soluções antivírus e ferramentas EDR (Endpoint Detection and Response).
Além disso, o malware incorpora uma complexa máquina de estados e técnicas de ofuscação para dificultar a análise estática por especialistas. Mesmo quando executado em ambientes de sandbox ou com ferramentas de depuração, o código é recheado de operações redundantes e instruções enganosas para enganar analistas e atrasar a detecção.
Persistência garantida e comunicação furtiva
Para manter-se ativo mesmo após reinicializações do sistema, o ResolverRAT se infiltra profundamente no ambiente Windows, adicionando entradas no Registro com chaves ofuscadas por XOR em até 20 locais diferentes. Simultaneamente, ele se copia para pastas críticas como “Inicialização”, “Program Files” e diretórios locais de aplicativos, reforçando sua permanência no sistema.
A comunicação com os servidores de comando e controle (C2) também é projetada para ser furtiva. O malware utiliza intervalos aleatórios para os callbacks, dificultando a identificação por padrões de beaconing. Cada comando enviado pelos operadores é tratado em threads independentes, garantindo execução paralela e resiliência a falhas.
Exfiltração de dados com mecanismos de fragmentação inteligente
Entre suas capacidades mais sensíveis, está o mecanismo de exfiltração de dados confidenciais. Para transferências de arquivos superiores a 1 MB, o ResolverRAT fragmenta os dados em blocos de 16 KB, enviando cada um discretamente e verificando previamente a disponibilidade do soquete de rede antes da transmissão — o que reduz drasticamente o risco de erros e aumenta a eficácia em conexões instáveis.
Além disso, caso ocorra alguma falha na transmissão, o malware possui mecanismos de retomada, permitindo continuar o envio a partir do último bloco confirmado, um recurso geralmente visto apenas em ferramentas comerciais bem desenvolvidas.
Ligação com campanhas anteriores e possível escopo de evolução
Embora a Morphisec tenha sido responsável por identificar o ResolverRAT, infraestruturas semelhantes já haviam sido descritas em relatórios recentes da Check Point e da Cisco Talos, que, no entanto, apontavam para outros malwares, como os infames Rhadamanthys e Lumma Stealer. Isso indica que os mesmos atores por trás dessas campanhas podem estar diversificando suas ferramentas ou atualizando-as para versões mais furtivas.
A presença de campanhas em diversos idiomas sugere que o ResolverRAT possui potencial de escalar seus ataques a outros países, inclusive no Brasil, onde o setor de saúde e farmacêutico tem se digitalizado rapidamente, mas ainda enfrenta desafios estruturais em segurança da informação.
Alerta aos CISOs e gestores de risco
Para executivos de cibersegurança, especialmente CISOs e diretores de TI em empresas do setor de saúde e farmacêutico, a descoberta do ResolverRAT exige atenção redobrada aos vetores de phishing, reforço nos mecanismos de monitoramento de comportamento em memória, e auditorias constantes de persistência no sistema.
O uso de técnicas sofisticadas de evasão mostra que os grupos por trás dessas campanhas estão investindo em malwares cada vez mais furtivos, resilientes e adaptáveis — um claro sinal de que a segurança baseada apenas em assinaturas está se tornando obsoleta.
Siga o Itshow no LinkedIn e assine a nossa News para ficar por dentro de todas as notícias do setor de TI e Telecom!
