# RevengeHAT RAT > [!medium] RAT de Cibercrime com Recursos de Vigilância e Controle Remoto > RevengeHAT RAT é um Remote Access Trojan distribuído em fóruns de cibercrime, com capacidades de keylogging, captura de tela, acesso remoto e controle de câmera/microfone. Frequentemente associado ao [[loaderrat|LoaderRAT]] em cadeias de infecção de cibercrime oportunista. ## Visão Geral O RevengeHAT RAT é um Remote Access Trojan documentado em fóruns de cibercrime desde pelo menos 2020. O nome deriva da combinação "Revenge" (roubo/acesso) e "HAT" (Hack-And-Tool), refletindo sua posição como ferramenta de cibercrime generalista. O malware oferece um conjunto completo de capacidades de vigilância e controle remoto a baixo custo. As principais funcionalidades do RevengeHAT incluem keylogging, capturas de tela periódicas, acesso remoto a arquivos, shell remoto, acesso a câmera e microfone do sistema comprometido, e módulo de download para instalação de payloads adicionais. A interface de gerenciamento inclui painel web para controle de múltiplas vítimas simultaneamente. O RAT é frequentemente observado em campanhas de cibercrime oportunista associadas ao [[loaderrat|LoaderRAT]] e outros loaders low-cost que compõem o ecossistema de crimeware acessível a atores de baixa sofisticação. > [!latam] Relevância para o Brasil e LATAM > RATs de baixo custo como o RevengeHAT são o vetor preferêncial de cibercriminosos brasileiros e latino-americanos que não possuem capacidade de desenvolver malware próprio. O ecossistema de crimeware baseado em MaaS e RATs baratos é amplamente ativo no Brasil, visando pequenas e médias empresas, usuários domésticos e organizações sem maturidade de segurança. O [[financial|setor financeiro]] digital e o varejo brasileiro são alvos frequentes deste tipo de campanha oportunista. ## Técnicas Utilizadas | Tática | ID | Técnica | |--------|-----|---------| | Initial Access | [[t1566-phishing\|T1566]] | Phishing com anexos maliciosos | | Collection | [[t1056-001-keylogging\|T1056.001]] | Captura de teclas digitadas | | Collection | [[t1113-screen-capture\|T1113]] | Screenshots periódicos | | C2 | [[t1071-001-web-protocols\|T1071.001]] | HTTP/HTTPS para comunicação com painel de controle | ## Detecção - Detectar padrões de comunicação HTTP de processos não reconhecidos em intervalos regulares - Monitorar acesso a APIs de captura de tela e câmera por processos não autorizados - Usar regras YARA para assinaturas conhecidas do RevengeHAT - Alertar para execução de processos a partir de %TEMP% ou %APPDATA% ## Referências - [Malpedia - RevengeHAT](https://malpedia.caad.fkie.fraunhofer.de/) - [ANY.RUN - RevengeHAT Analysis](https://app.any.run/tasks/) - [MalwareBazaar - RevengeHAT samples](https://bazaar.abuse.ch/browse.php?search=tag:revengerat)