s1038-dcrat - RunkIntel

# DCRat - RAT MaaS com Presenca Crescente na América Latina > **ATIVO | RAT .NET / MaaS | Windows | Global com foco LATAM** - DCRat (DarkCrystal RAT) e um remote access trojan comercializado como Malware-as-a-Service em fóruns russos desde 2018, notavel pelo preco extremamente baixo (~US$ 7 por 2 meses) e conjunto completo de funcionalidades. Em 2025, a IBM X-Force documentou **crescimento significativo na América Latina**, com o grupo Hive0131 (provavelmente sul-americano) usando DCRat em campanhas direcionadas a Colombia, Peru e potencialmente Brasil. ## Visão Geral **DCRat** (DarkCrystal RAT) e um RAT escrito em .NET com arquitetura de plugin modular, ativo desde pelo menos junho de 2019 (amostras mais antigas de 2018). Foi documentado pela BlackBerry em 2022, destacando seu modelo de baixo custo que democratizou o acesso a RATs sofisticados para grupos com recursos limitados. A presenca do DCRat na América Latina escalou dramaticamente desde 2024. A IBM X-Force identificou o grupo **Hive0131** - provavel origem sul-americana - conduzindo campanhas no LATAM com DCRat, impersonando correspondencias oficiais do Poder Judicial colombiano. O Recorded Future (Insikt Group) também documentou o grupo **TAG-144** usando DCRat contra organizacoes sul-americanas em campanhas persistentes. | Campo | Detalhe | |-------|---------| | **Tipo** | Remote Access Trojan (RAT) | | **Linguagem** | .NET (C#) com arquitetura de plugins | | **Preco** | ~US$ 7 por 2 meses (MaaS) | | **Primeira observacao** | 2018-2019 | | **Status** | Ativo - versoes atualizadas em 2025 | | **Tracking** | IBM X-Force (Hive0131), MITRE S1038, Malpedia | ## Capacidades Técnicas ### Core do RAT - **Keylogger**: captura de todas as teclas pressionadas - **Screen capture**: capturas de tela automaticas e sob comando - **Roubo de credenciais de navegadores**: Chrome, Firefox, Edge, Opera (via T1555.003) - **Execução de comandos**: PowerShell, CMD, WScript Shell - **Upload/Download de arquivos**: T1105 - **Persistência**: Registry Run Key (T1547.001) e Scheduled Task - **Exfiltração**: dados enviados ao C2 via canal criptografado proprietario ### Sistema de Plugins (extensoes) - **Telegram token stealer**: rouba tokens de sessao do Telegram - **Discord token stealer**: tokens de sessao Discord (relevante para gamers brasileiros) - **Webcam capture**: acesso a camera do dispositivo - **Audio recording**: gravacao de audio pelo microfone - **Clipboard monitor**: monitoramento da area de transferencia - **Steam credentials**: credenciais de contas de gaming - **Custom plugins**: atores de ameaça podem criar plugins proprios ### Evasão - **AMSI bypass**: contorna o Antimalware Scan Interface do Windows - **Anti-VM**: detecta ambientes de análise e termina processo - **Process hollowing**: injeta payload em processos legitimos (T1055) - **VMDetectLoader** (versao LATAM 2025): loader .NET que usa fingerprinting de plataforma de virtualizacao antes de deployar DCRat em memoria via `CreateProcess` + `ZwUnmapViewOfSection` + `WriteProcessMemory` ```mermaid graph TB A["📧 Phishing LATAM Judicial da Colombia / PDF TinyURL T1566.002 / T1204.002"] A --> B["📦 ZIP protegido por senha VMDetectLoader .NET GuLoader (2024) / NSIS"] B --> C["🔍 Fingerprinting ambiente VMware / QEMU / VirtualBox Hyper-V detection"] C --> D["💉 Process Hollowing MSBuild.exe suspenso WriteProcessMemory T1055"] D --> E["🤖 DCRat instalado Registry persistence T1547.001 C2 proprietario criptografado"] E --> F["👁 Coleta massiva Keylog T1056.001 / Screen T1113 Credenciais T1555.003"] F --> G["📤 Exfiltração T1041 - C2 Channel Credenciais bancarias LATAM"] classDef delivery fill:#e74c3c,color:#fff classDef dropper fill:#e67e22,color:#fff classDef evasion fill:#f39c12,color:#fff classDef inject fill:#3498db,color:#fff classDef rat fill:#9b59b6,color:#fff classDef collect fill:#27ae60,color:#fff classDef exfil fill:#2c3e50,color:#fff class A delivery class B dropper class C evasion class D inject class E rat class F collect class G exfil ``` ## Timeline ```mermaid timeline title DCRat - Linha do Tempo 2018-2019 : Primeiras amostras em fóruns russos 2022 : BlackBerry publica análise detalhada 2022 : Sandworm usa DCRat contra operadoras ucranianas 2024-09 : Campanha HTML Smuggling contra usuarios russos (Netskope) 2024 : Hive0131 começa campanhas LATAM com DCRat 2025-02 : Sandworm: KMS trojanizado com DCRat contra Ucrania 2025-06 : IBM X-Force: DCRat crescendo na LATAM - Hive0131 Colombia 2025-12 : BlindEagle targeta agencia governamental colombiana com DCRat 2026-01 : TAG-144 usa DCRat contra organizacoes sul-americanas ``` ## TTPs MITRE ATT&CK | Tática | Técnica | Uso | |--------|---------|-----| | Acesso Inicial | [[t1566-002-spearphishing-link\|T1566.002]] | Links maliciosos em e-mails phishing | | Execução | [[t1204-002-malicious-file\|T1204.002]] | Usuario executa ZIP / NSIS / JS file | | Evasão | [[t1055-process-injection\|T1055]] | Process Hollowing em MSBuild.exe | | Coleta | [[t1056-001-keylogging\|T1056.001]] | Keylogger integrado | | Coleta | [[t1113-screen-capture\|T1113]] | Capturas de tela automaticas | | Credenciais | [[t1555-003-credentials-from-web-browsers\|T1555.003]] | Roubo de credenciais de navegadores | | Descoberta | [[t1082-system-information-discovery\|T1082]] | Enumeracao de sistema, GPU, CPU, webcam | | Persistência | [[t1547-001-registry-run-keys-startup-folder\|T1547.001]] | Registry Run Key | | Transferencia | [[t1105-ingress-tool-transfer\|T1105]] | Upload/download de arquivos | | Execução | [[t1059-001-powershell\|T1059.001]] | Comandos PowerShell via C2 | | Execução | [[t1059-003-windows-command-shell\|T1059.003]] | Comandos CMD via C2 | | Exfiltração | [[t1041-exfiltration-over-c2-channel\|T1041]] | Dados enviados via canal C2 proprio | ## Relevância LATAM e Brasil O DCRat tornou-se uma das ameaças mais relevantes para o Brasil e América Latina por cinco razoes documentadas: 1. **Hive0131 targeting LATAM**: IBM X-Force (jun/2025) documenta o grupo Hive0131 - provavelmente de origem sul-americana - usando DCRat em campanhas contra Colombia com lures do Poder Judicial. O mesmo perfil de lure (instituicoes juridicas) e facilmente adaptavel para o Brasil (TJ, STJ, Receita Federal). 2. **TAG-144 sul-americano**: O Recorded Future documenta o TAG-144 usando DCRat persistentemente contra organizacoes sul-americanas desde pelo menos 2025. 3. **BlindEagle (APT-C-36)**: O grupo colombiano BlindEagle - ativo contra governos colombianos e equatorianos - usou DCRat em campanhas de 2025. Este grupo tem historico de expansao para outros paises latino-americanos. 4. **Modelo MaaS ultra-acessivel**: US$ 7 por 2 meses e acessivel para qualquer grupo de cibercrime brasileiro, eliminando barreiras de entrada. Campanhas oportunistas com DCRat em PT-BR foram documentadas por pesquisadores independentes. 5. **Discord e gaming**: O plugin de roubo de tokens Discord e especialmente relevante para o Brasil, onde Discord e amplamente usado pela comunidade gamer (5+ milhões de usuarios brasileiros) e por grupos criminosos como canal de comunicação e distribuição de malware. ## Detecção - Detectar processos .NET estabelecendo conexoes TCP persistentes com padrao de beaconing (DCRat C2 proprietario) - Monitorar acesso a arquivos de perfil de múltiplos navegadores simultaneamente (`Login Data`, `logins.json`, `Cookies`) por processos nao relacionados aos proprios navegadores - Alertar sobre hooks de teclado instalados por processos suspeitos (T1056.001) - Identificar execucoes de PowerShell com parametros de download e decodificacao iniciadas por processos inesperados - Detectar `MSBuild.exe` sendo criado em estado suspenso seguido de escrita de memoria (Process Hollowing) - Monitorar AMSI bypass em scripts .NET (sequencias caracteristicas de patch da API AmsiScanBuffer) - Regras YARA da BlackBerry disponíveis para detecção de strings caracteristicas do DCRat ## Relacoes - [[hive0131|Hive0131]] - grupo ameaça LATAM com uso documentado de DCRat - [[blindeagle|BlindEagle]] - APT colombiano que usa DCRat em campanhas governamentais - [[tag-144|TAG-144]] - grupo que targeta organizacoes sul-americanas com DCRat - [[g0034-sandworm|Sandworm]] - APT russo que usou DCRat em campanhas contra Ucrania - [[s0262-quasarrat|QuasarRAT]], [[s0385-njrat|NjRAT]] - RATs alternativos no mesmo ecossistema MaaS - [[lumma-stealer|Lumma Stealer]] - infostealer frequentemente co-deployado em campanhas similares - [[financial|financeiro]], [[government|governo]] - setores primariamente atingidos no LATAM ## Referências - [1] [MITRE ATT&CK - S1038](https://attack.mitre.org/software/S1038) - [2] [IBM X-Force - DCRat presence growing in Latin América (jun/2025)](https://www.ibm.com/think/x-force/dcrat-presence-growing-in-latin-america) - [3] [BlackBerry - DCRat Sold for Peanuts (2022)](https://blogs.blackberry.com/en/2022/07/dcrat-sold-for-peanuts) - [4] [The Hacker News - New HTML Smuggling Campaign Delivers DCRat to Russian Users (2024)](https://thehackernews.com/2024/09/new-html-smuggling-campaign-delivers.html) - [5] [Malpedia - win.dcrat](https://malpedia.caad.fkie.fraunhofer.de/details/win.dcrat) - [6] [Splunk STRT - Dark Crystal RAT Agent Deep Dive](https://www.splunk.com/en_us/blog/security/dark-crystal-rat-agent-deep-dive.html)