s0379-revenge-rat - RunkIntel

# Revenge RAT > [!warning] RAT Gratuito com Impacto Global - LATAM no Radar > O Revenge RAT e um RAT .NET distribuido gratuitamente em foros de hacking desde 2016, usado tanto por script kiddies quanto por grupos APT sofisticados. A campanha **RevengeHotels** (documentada pela Kaspersky em 2019) usou o Revenge RAT específicamente contra hoteis, pousadas e resorts no **Brasil, Argentina, Chile, Mexico e Colombia** - roubando dados de cartoes de credito de hospedes incluindo clientes de plataformas como Booking.com e Expedia. Mais de 20 grupos de crime cibernético diferentes foram documentados distribuindo Revenge RAT, tornando-o um dos RATs mais ubiquos na paisagem de ameaças modernas. ## Visão Geral [[s0379-revenge-rat|Revenge RAT]] e uma ferramenta de acesso remoto (RAT) escrita em C# (.NET), disponível gratuitamente em foros de hacking e repositorios públicos. Criado originalmente pelo desenvolvedor conhecido como "ALDAIROU", foi amplamente distribuido e modificado pela comunidade de hacking desde 2016. Sua arquitetura simples mas funcional o torna popular entre grupos com capacidades técnicas variadas. O Revenge RAT oferece capacidades completas de vigilancia e controle remoto: keylogging, captura de camera, audio ambiente, dump de credenciais, acesso ao sistema de arquivos e execução remota de comandos. A comunicação C2 usa codificacao Base64 e pode se mascarar como trafego web legitimo. | Campo | Detalhe | |-------|---------| | **Tipo** | Remote Access Trojan (RAT) | | **Linguagem** | C# (.NET Framework) | | **Plataformas** | Windows | | **MITRE ID** | S0379 | | **Disponibilidade** | Gratuito (foros de hacking) | | **Grupos documentados** | TA2541, The White Company, Gorgon Group, TA558 | | **Setores alvo** | Aviacao, transporte, hospitalidade, governo | | **Impacto LATAM** | Campanha RevengeHotels 2019 (5 paises) | ## Como Funciona **Instalacao e persistência:** O Revenge RAT e tipicamente distribuido via spear-phishing com documentos maliciosos (Word com macros, Excel com VBA) ou executaveis disfarçados como PDFs. Após execução: 1. O payload .NET e descompactado e executado em memoria 2. Persistência via **Winlogon Helper DLL** (`HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon`) - chave `Shell` ou `Userinit` modificada 3. Scheduled Task criada para reinicializacao 4. Mshta.exe usado para execução LOLBin (Living-Off-the-Land) **Capacidades de vigilancia:** O Revenge RAT implementa um conjunto completo de módulos de espionagem: - **Keylogger:** captura todas as teclas digitadas, incluindo senhas e dados de cartao - **Webcam:** ativa camera sem acender o LED indicador (em algumas variantes) - **Microfone:** gravacao de audio ambiente - **Screen capture:** capturas de tela em intervalos configurados - **Credential dump:** extrai credenciais salvas de navegadores (Chrome, Firefox, IE) e clientes de e-mail - **File manager:** acesso completo ao sistema de arquivos da vitima **Comúnicação C2:** A comunicação C2 usa **codificacao Base64** sobre HTTP/HTTPS, podendo usar: - Canal C2 direto para servidor do atacante - **Pastebin como C2 intermediario** (T1102.002 - bidirectional web service) - técnica usada pelo TA558 para obfuscar o servidor real - DNS sobre HTTPS em variantes mais recentes - Porta configuravel pelo operador (padrao 81 ou 8080) **Campanha RevengeHotels - Técnica específica LATAM:** A campanha RevengeHotels documentada pela Kaspersky usou spear-phishing contra funcionarios de hoteis com assuntos como "reserva de grupo" ou "confirmacao de pagamento". Após compromisso: 1. Revenge RAT instalado no computador da recepcao do hotel 2. Dados de cartao inseridos por hospedes (Booking.com, Expedia, agencias) capturados 3. Credenciais de plataformas de reserva roubadas e revendidas em foros 4. Alguns grupos mantiveram acesso por mais de 2 anos sem detecção ## Attack Flow ```mermaid graph TB A["Spear-phishing Documento com macro Tema: reserva / frete / contrato"] --> B["Execução Macro PowerShell / Mshta Download do payload .NET"] B --> C["Revenge RAT Install Descompactado em memoria Winlogon Helper DLL"] C --> D["Persistência Winlogon Shell key Scheduled Task backup"] D --> E["Vigilancia Keylogger + Camera Screenshot + Microfone"] E --> F["Credential Harvest Navegadores e e-mail Plataformas de reserva"] F --> G["Exfiltração C2 Base64 sobre HTTP Pastebin intermediario"] G --> H["Monetização Cartoes de credito Acesso a plataformas revendido"] classDef phishing fill:#e74c3c,stroke:#c0392b,color:#fff classDef install fill:#e67e22,stroke:#d35400,color:#fff classDef persist fill:#8e44ad,stroke:#7d3c98,color:#fff classDef collect fill:#2c3e50,stroke:#1a252f,color:#fff classDef exfil fill:#27ae60,stroke:#1e8449,color:#fff class A phishing class B,C install class D persist class E,F collect class G,H exfil ``` ## Capacidades do RAT ```mermaid graph TB R["Revenge RAT Core .NET C# / Gratuito"] --> S["Vigilancia Keylogger / Camera Audio / Screenshot"] R --> C["Credenciais Navegadores / Email Plataformas web"] R --> P["Persistência Winlogon Helper DLL Scheduled Task"] R --> L["LOLBins Mshta.exe PowerShell execution"] R --> N["C2 Flexivel HTTP Base64 Pastebin intermediario"] R --> F["File Access Upload / Download Execução remota"] classDef core fill:#2c3e50,stroke:#1a252f,color:#fff classDef module fill:#3498db,stroke:#2980b9,color:#fff class R core class S,C,P,L,N,F module ``` ## Timeline ```mermaid timeline title Revenge RAT - 2016 a 2024 2016 : ALDAIROU lanca Revenge RAT em foros : Código-fonte disponibilizado gratuitamente : Primeiros usos por script kiddies 2018 : Gorgon Group adota Revenge RAT : Campanhas contra governo Pakistan e India : The White Company usa contra alvos criticos 2019 : Campanha RevengeHotels - LATAM : Brasil, Argentina, Chile, Mexico, Colombia : Hoteis e plataformas de reserva comprometidos 2020 : TA2541 faz uso extensivo - aviacao : Campanhas contra logistica e transporte global : Proofpoint documenta operacoes do TA2541 2022 : TA558 usa Revenge RAT com Pastebin C2 : Turismo e hospitalidade LATAM : Mshta como vetor de execução documentado 2024 : Variantes com persistência melhorada : Combinado com loaders como GuLoader : Continua ativo em campanhas LATAM ``` ## TTPs Mapeados | Tática | Técnica | Uso Específico | |--------|---------|----------------| | Acesso Inicial | Spear-phishing com documento | Tema de reserva, frete, contrato para sector-targeting | | Execução | [[t1059-001-powershell\|T1059.001]] | Download e execução do payload .NET | | Execução | [[t1059-003-windows-command-shell\|T1059.003]] | Comandos shell em pos-compromisso | | Execução | [[t1218-005-mshta\|T1218.005]] | LOLBin: mshta.exe para execução de script | | Persistência | [[t1547-004-winlogon-helper-dll\|T1547.004]] | Modificacao de chave Winlogon Shell/Userinit | | Persistência | [[t1053-005-scheduled-task\|T1053.005]] | Scheduled Task como mecanismo secundario | | Coleta | [[t1056-001-keylogging\|T1056.001]] | Keylogger captura senhas e dados de cartao | | Coleta | [[t1125-video-capture\|T1125]] | Webcam ativada remotamente | | Coleta | [[t1123-audio-capture\|T1123]] | Microfone para espionagem de ambiente | | Coleta | [[t1003-os-credential-dumping\|T1003]] | Dump de credenciais de navegadores e e-mail | | Descoberta | [[t1082-system-information-discovery\|T1082]] | Informacoes do sistema da vitima | | Descoberta | [[t1033-system-owneruser-discovery\|T1033]] | Identificação do usuario e proprietario | | Descoberta | [[t1016-system-network-configuration-discovery\|T1016]] | Configuração de rede | | C2 | [[t1132-001-standard-encoding\|T1132.001]] | Comúnicação C2 codificada em Base64 | | C2 | [[t1102-002-bidirectional-communication\|T1102.002]] | Pastebin como intermediario C2 | | Acesso Remoto | [[t1021-001-remote-desktop-protocol\|T1021.001]] | RDP para acesso interativo pos-compromisso | | Exfiltração | [[t1041-exfiltration-over-c2-channel\|T1041]] | Dados exfiltrados pelo canal C2 | | Coleta | [[t1105-ingress-tool-transfer\|T1105]] | Download de ferramentas adicionais | ## Relevância LATAM/Brasil O Revenge RAT tem uma das maiores presencas documentadas no Brasil entre todos os RATs de uso comum, por tres razoes: **1. Campanha RevengeHotels (2019)** A Kaspersky documentou uma operação específicamente voltada ao setor de hospitalidade brasileiro e latino-americano. Hoteis em Sao Paulo, Rio de Janeiro, Brasilia e outras cidades foram comprometidos, com dados de cartao de hospedes (incluindo executivos corporativos usando plataformas como Booking.com) roubados em escala. O setor de turismo brasileiro - com alta concentracao de transações de cartao - e alvo natural. **2. TA558 - Foco em LATAM** O [[ta558|TA558]] e um grupo de ameaça com foco específico em América Latina, documentado pela Proofpoint. O grupo usa Revenge RAT (e outros RATs) contra setores de turismo, hospitalidade e viagem em toda a regiao, com campanhas em portugues e espanhol adaptadas ao contexto local. **3. Grupos criminosos brasileiros** A disponibilidade gratuita do Revenge RAT tornou-o popular entre grupos de crime cibernético brasileiros que nao possuem capacidade para desenvolver malware proprio. O CERT.br registrou campanhas em portugues distribuindo Revenge RAT mascarado como boletos bancarios, notas fiscais e documentos governamentais. > [!warning] Setor de Hospitalidade > Hoteis, pousadas e resorts brasileiros sao alvos específicos de grupos usando Revenge RAT. Funcionarios de recepcao que acessam sistemas de reserva devem receber treinamento específico contra phishing. A segregacao de acesso - terminais de check-in nao devem ter acesso a internet irrestrito - e mitigação critica. ## Detecção e Defesa **Indicadores de compromisso:** - Processo `mshta.exe` executando URLs remotas ou scripts (IOC de entrega) - Modificacoes nas chaves de registro `HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon` (Shell ou Userinit) - Processos .NET estabelecendo conexoes de saida para IPs externos nao-reconhecidos - Trafego HTTP com corpo 100% Base64 para dominios sem historico (C2 tipico) - Conexoes ao Pastebin.com ou paste.ee de processos nao-navegadores **Regras SIGMA (comportamentais):** - Detecção de `mshta.exe` com argumento `http://` ou `https://` (T1218.005) - Criação de Scheduled Task por processo filho de `Office*.exe` (T1053.005) - Modificacao de chave Winlogon por processo nao-instalador (T1547.004) **YARA:** ``` rule RevengeRAT { strings: $s1 = "Revenge-RAT" wide ascii $s2 = "NYAN CAT" wide ascii $s3 = "aldairou" nocase condition: any of them } ``` **Mitigacoes:** - Bloquear execução de `mshta.exe` por usuarios nao-administradores (AppLocker/WDAC) - Monitorar e alertar sobre modificacoes nas chaves Winlogon (Sysmon EventID 13) - Segmentar terminais de recepcao de hoteis - acesso apenas a sistemas de reserva necessários - Treinamento de phishing específico para setor de hospitalidade (tema reservas, pagamentos) - EDR com detecção comportamental de RATs .NET (processo filho, conexão de rede, screen capture) ## Referências - [1](https://securelist.com/revengehotels/95229/) Kaspersky Securelist - RevengeHotels: Crime in Hospitality Sector (2019) - [2](https://attack.mitre.org/software/S0379/) MITRE ATT&CK - S0379 Revenge RAT - [3](https://www.proofpoint.com/us/blog/threat-insight/new-threat-actor-ta558-targets-hospitality-and-travel) Proofpoint - TA558 Targets Hospitality and Travel in LATAM (2022) - [4](https://unit42.paloaltonetworks.com/gorgon-group-slithering-nation-state-cybercrime/) Unit 42 - Gorgon Group: Nation-State Cybercrime (2018) - [5](https://malpedia.caad.fkie.fraunhofer.de/details/win.revenge_rat) Malpedia - Revenge RAT Malware Family - [6](https://www.fortinet.com/blog/threat-research/revenge-rat-targeting-users-in-south-america) Fortinet - Revenge RAT Targeting Users in South América (2023)