operation-rat-latam

# Operation RAT LATAM > [!high] Campanha RAT Baseada no Brasil - Hotéis e Empresas LATAM > Operation RAT LATAM é uma campanha de espionagem e roubo de credenciais identificada pela Cisco Talos visando empresas do setor hoteleiro e de hospitalidade na América Latina. O ator, operando do Brasil, usa njRAT e AsyncRAT construídos com o builder "3losh crypter rat" e os distribui via documentos Office com macros e links maliciosos. ## Visão Geral Operation RAT LATAM é o nome dado pela Cisco Talos a uma série de campanhas de malware com foco regional na América Latina, conduzidas por um ator de ameaça não atribuído que opera predominantemente do Brasil. A pesquisa da Talos documentou o uso combinado de [[s0385-njrat|njRAT]] e [[s1087-asyncrat|AsyncRAT]] - dois dos RATs mais populares no ecossistema de cibercrime de baixo custo - construídos via um builder comercial denominado "3losh crypter rat" que adiciona camadas de ofuscação para evadir detecção. O ator utiliza principalmente o setor hoteleiro e de hospitalidade como isca: e-mails de phishing imitando reservas, reclamações de hóspedes, pedidos de orçamento ou confirmações de eventos são enviados para funcionários de hotéis, resorts e pousadas na América Latina. Uma vez infectado, o funcionário serve como ponto de entrada para comprometimento de sistemas de pagamento e dados de clientes, ou como trampolim para ataques a outras organizações. A infraestrutura do ator combina servidores comprometidos de terceiros com servidores de hospedagem de baixo custo sob controle direto. O builder "3losh crypter rat" gera executáveis únicos para cada campanha, dificultando assinaturas estáticas, mas mantendo comportamento consistente detectável via análise comportamental. Para o Brasil específicamente, essa campanha representa uma ameaça doméstica real: um ator local usando ferramentas de baixo custo mas eficazes para comprometer o setor de hospitalidade - vertical que processa grande volume de dados de cartão e informações pessoais de hóspedes, mas historicamente investe pouco em segurança cibernética. ## Como Funciona **Cadeia de infecção típica:** 1. Phishing por email imitando reservas de hotéis, pedidos de orçamento ou reclamações de hóspedes 2. Anexo Word ou Excel com macro VBA maliciosa, ou link para download de arquivo compactado 3. Execução da macro que baixa e executa o loader "3losh crypter" de servidor externo 4. O loader descriptografa e executa njRAT ou AsyncRAT na memória 5. RAT estabelece persistência via registro do Windows (chave Run) ou pasta de inicialização 6. Comúnicação C2 via TCP para servidor controlado pelo ator ```mermaid graph TB A["📧 Phishing Email Isca hoteleira reservas/reclamações"] --> B["📎 Anexo Malicioso Word/Excel com macro ou link download"] B --> C["⚙️ Macro VBA Baixa loader 3losh crypter"] C --> D["🔓 Deofuscação Descriptografa payload njRAT ou AsyncRAT"] D --> E["💾 Persistência Registro Run keys ou pasta Startup"] E --> F["📡 Beacon C2 TCP para servidor controlado pelo ator"] F --> G["🖥️ Controle Total Keylog, screenshot acesso remoto"] ``` *Malware: [[s0385-njrat|njRAT]] · [[s1087-asyncrat|AsyncRAT]] - Setor alvo: [[tourism|turismo]] · [[hospitality|hospitalidade]]* ## TTPs MITRE ATT&CK | ID | Técnica | Fase | Descrição | |----|---------|------|-----------| | T1566.002 | Spearphishing Link | Acesso Inicial | Links para download de arquivos maliciosos | | T1059.005 | Visual Basic | Execução | Macros VBA nos documentos Office | | T1027 | Obfuscated Files | Evasão | Builder 3losh crypter para ofuscação | | T1105 | Ingress Tool Transfer | C2 | Download do payload de servidor externo | | T1547.001 | Registry Run Keys | Persistência | Chaves Run para persistência após reboot | | T1071 | Application Layer Protocol | C2 | Comúnicação TCP com servidor C2 | | T1056.001 | Keylogging | Coleta | Captura de senhas e dados de cartão | | T1113 | Screen Capture | Coleta | Screenshots periódicos da área de trabalho | ## Ecossistema de RATs LATAM ```mermaid graph TB subgraph Ferramentas do Ator THREE["3losh crypter rat Builder/packer comercial"] NJ["njRAT RAT open-source"] ASYNC["AsyncRAT RAT open-source"] end subgraph Vetores de Entrega DOC["Documentos Office Macros VBA"] LINK["Links de Download Phishing por email"] HOST["Hosting Comprometido ou barato"] end THREE --> NJ THREE --> ASYNC DOC --> THREE LINK --> THREE HOST --> DOC HOST --> LINK ``` *RATs relacionados: [[s0385-njrat|njRAT]] · [[s1087-asyncrat|AsyncRAT]]* ## Relevância Brasil e LATAM > [!latam] Relevância para o Brasil > **Operation RAT LATAM** é uma ameaça doméstica confirmada: o ator foi rastreado pelo **Cisco Talos** até o Brasil, operando **njRAT** e **AsyncRAT** contra o maior setor hoteleiro da América Latina. Ferramentas de baixo custo e alta disponibilidade em fóruns brasileiros tornam campanhas similares facilmente replicáveis. Comprometimentos via RAT que exfiltram dados de hóspedes (cartão de crédito, dados pessoais) acionam obrigações de notificação imediata sob a **LGPD** e multas da **ANPD**. Esta campanha é diretamente relevante para o Brasil por três razões: 1. **Ator doméstico**: O operador foi rastreado até o Brasil pela Cisco Talos, indicando ecossistema local de cibercrime com foco em alvos regionais 2. **Setor hoteleiro como alvo**: O Brasil tem o maior setor hoteleiro da América Latina, com milhares de hotéis independentes sem equipe de segurança dedicada 3. **Ferramentas de baixo custo e alta disponibilidade**: njRAT e AsyncRAT são gratuitos/baratos e abundantes em fóruns de cibercrime brasileiros. Qualquer pessoa com conhecimento básico pode operar uma campanha similar usando o builder 3losh A [[lgpd|LGPD]] cria obrigações de notificação para hotéis e operadores de hospitalidade que processam dados de hóspedes. Um comprometimento via njRAT que exfiltra dados de cartão de crédito ou reservas aciona obrigações regulatórias imediatas. ## Detecção e Defesa **Indicadores comportamentais:** - Processo Word ou Excel gerando processo filho (cmd.exe, powershell.exe, wscript.exe) - Download de executável ou arquivo compactado por processo Office - Criação de chave de registro em `HKCU\Software\Microsoft\Windows\CurrentVersion\Run` por macro - Conexão TCP de longa duração a porta não-padrão (porta 5552 comum para njRAT) - `%TEMP%` ou `%APPDATA%` com novos executáveis gerados em sequência rápida **Mitigações prioritárias:** - Desabilitar macros por padrão em clientes Office via política de grupo - [[m1021-restrict-web-based-content|Filtro de conteúdo web]] para bloquear download de executáveis via links de email - Treinamento específico do [[hospitality|setor hoteleiro]] sobre phishing com temática de reservas - EDR com detecção de process spawning anômalo por aplicações Office ## Referências - [1](https://blog.talosintelligence.com/operation-rat-latam/) Cisco Talos - Operation RAT: LATAM-Based Campaign (2022) - [2](https://malpedia.caad.fkie.fraunhofer.de/details/win.njrat) Malpedia - njRAT - [3](https://malpedia.caad.fkie.fraunhofer.de/details/win.asyncrat) Malpedia - AsyncRAT - [4](https://attack.mitre.org/software/S0385/) MITRE ATT&CK - njRAT S0385 - [5](https://www.cert.br/docs/alertas/) CERT.br - Alertas de Segurança (Brasil)