# BitRAT > [!high] RAT comercial de $20 usado pelo Blind Eagle em campanhas LATAM - capaz de controle remoto completo e mineração de cripto > BitRAT é um Remote Access Trojan (RAT) vendido por apenas US$20 com licença vitalícia em fóruns underground desde 2020. Amplamente usado pelo **Blind Eagle** (APT-C-36) em campanhas contra Colômbia, Equador, Brasil e outros países LATAM. Capacidades incluem keylogging, captura de webcam/áudio, roubo de credenciais e mineração de XMR. ## Visão Geral BitRAT é um Remote Access Trojan (RAT) comercial vendido em mercados underground por apenas US$20 com acesso vitalício - preço extremamente acessível que contribuiu para sua ampla adoção por grupos criminosos e APTs de diferentes níveis de sofisticação. Surgiu em 2020 e rapidamente se tornou um dos RATs mais populares em campanhas na América Latina, especialmente entre grupos que operam na Colômbia, Equador, Brasil e países vizinhos. O [[g0099-blind-eagle-apt-c-36|Blind Eagle]] (APT-C-36), grupo de ameaça persistente avançada suspeito de origem sul-americana ativo desde pelo menos 2018, é um dos principais operadores do BitRAT na América Latina. O grupo o usa em campanhas de espionagem e roubo de credenciais financeiras, alternando entre BitRAT, [[s1087-asyncrat|AsyncRAT]], [[limerat|LimeRAT]], [[s0385-njrat|njRAT]] e [[remcos-rat|Remcos RAT]] dependendo dos objetivos da campanha. Campanhas recentes do Blind Eagle com BitRAT foram documentadas por Kaspersky, Trend Micro e Unit 42. A versatilidade do BitRAT explica sua popularidade: suporta uma ampla gama de operações - desde controle remoto completo (RDP, gerenciamento de arquivos, processos) até coleta passiva (keylogging, screenshots, webcam, áudio), roubo de credenciais de navegadores e até mineração de Monero (XMR) nas máquinas infectadas para monetização adicional. O config utiliza cifra Camellia para proteção das configurações do operador. Uma campanha notável documentada pela Trend Micro em 2021 mostrou o BitRAT sendo entregue pelo [[g0099-blind-eagle-apt-c-36|Blind Eagle]] via arquivos ZIP protegidos por senha (senha "dian") se passando por notificações da autoridade tributária colombiana DIAN - modelo de engenharia social altamente eficaz que combina autoridade governamental com urgência fiscal. ## Como Funciona ```mermaid graph TB A["📧 Phishing DIAN/governo<br/>ZIP protegido por senha"] --> B["📄 VBScript executor<br/>T1059.005 - evasão AV"] B --> C["🌐 Download payload<br/>De servidor de imagens ou GitHub"] C --> D["💉 Process Hollowing<br/>RAT em processo legítimo .NET"] D --> E["🔌 Conexão C2<br/>Porta 4050 ou não-padrão"] E --> F["🎯 Objetivos duplos<br/>Espionagem ou roubo financeiro"] F --> G["⛏️ Mineração XMR<br/>Monetização adicional via recurso"] ``` ## Capacidades | Categoria | Funcionalidade | |-----------|---------------| | **Acesso remoto** | RDP, shell remota, gerenciamento de arquivos e processos | | **Coleta** | Keylogging ([[t1056-001-keylogging\|T1056.001]]), screenshots ([[t1113-screen-capture\|T1113]]) | | **Vigilância** | Webcam ([[t1125-video-capture\|T1125]]), microfone ([[t1123-audio-capture\|T1123]]) | | **Credenciais** | Roubo de senhas de 30+ navegadores ([[t1555-003-credentials-from-web-browsers\|T1555.003]]) | | **Mineração** | XMRig integrado para Monero ([[t1496-resource-hijacking\|T1496]]) | | **Evasão** | Process Hollowing ([[t1055-012-process-hollowing\|T1055.012]]), VBScript para entrega | | **DDoS** | Capacidade de flood para ataques de negação de serviço | | **Clipboard** | Monitoramento e substituição de dados na área de transferência | ## Uso pelo Blind Eagle no Brasil O [[g0099-blind-eagle-apt-c-36|Blind Eagle]] tem expandido operações para o Brasil com campanhas específicas. Em 2024, a Kaspersky documentou campanha usando **sites de hospedagem de imagens brasileiros** para entregar código malicioso - uma mudança de infraestrutura que indica adaptação do grupo para alvos brasileiros. O grupo usou artefatos com strings em português (em vez do espanhol habitual) como indicação de campanhas específicas para o Brasil. Setores de maior risco no Brasil: - Entidades governamentais e judiciário - Setor financeiro e bancário - Empresas de energia e petróleo - Indivíduos com carteiras de criptomoeda ## Detecção e Defesa **Indicadores específicos do BitRAT:** - Processo .NET iniciando conexões de saída em portas não-padrão (4050, 8808, etc.) imediatamente após abertura de arquivo VBScript - Arquivo de configuração com bloco de dados Camellia cifrado identificável por pesquisadores como estrutura do BitRAT - XMRig sendo executado em background por processo filho de aplicação de usuário **Defesas:** - Bloquear execução de VBScript no contexto de e-mails e downloads - Alertas para conexões de saída de processos .NET para portas não-padrão - EDR com detecção de process hollowing (mismatch entre imagem do processo e código em execução) ## Relevância LATAM/Brasil O BitRAT tem relevância crítica para o Brasil. O [[g0099-blind-eagle-apt-c-36|Blind Eagle]] usa o BitRAT em campanhas ativas direcionadas a organizações e indivíduos brasileiros, com infraestrutura de entrega adaptada para o país (sites brasileiros, português). O preço irrisório de US$20 torna o BitRAT acessível para grupos criminosos locais de menores recursos, amplificando a superfície de ameaça além de grupos APT organizados. ## Referências - [Kaspersky GReAT - BlindEagle APT](https://securelist.com/blindeagle-apt/113414/) - 2024 - [Trend Micro - APT-C-36 Updates Spam Campaign](https://www.trendmicro.com/en_us/research/21/i/apt-c-36-updates-its-long-term-spam-campaign-against-south-ameri.html) - 2021 - [Malpedia - BitRAT](https://malpedia.caad.fkie.fraunhofer.de/details/win.bit_rat)