sparkrat - RunkIntel

# SparkRAT > [!medium] RAT Open-Source Multiplataforma Adotado por Atores Maliciosos > SparkRAT é um Remote Access Trojan open-source escrito em Go, originalmente públicado no GitHub. Suporta Windows, Linux e macOS, tornando-se atraente para atores de ameaça por sua facilidade de deployment e natureza multiplataforma. Foi documentado em campanhas de atores de ameaça norte-coreanos e grupos de cibercrime. ## Visão Geral O SparkRAT é um RAT (Remote Access Trojan) open-source escrito em Go e originalmente públicado no GitHub pelo usuário XZB-1248. Apesar de ser apresentado como ferramenta legítima de administração remota, o SparkRAT foi amplamente adotado por atores maliciosos devido à sua arquitetura multiplataforma (Windows, Linux, macOS), facilidade de compilação e conjunto robusto de funcionalidades. O malware oferece interface web para gerenciamento de múltiplas vítimas, captura de tela, acesso a arquivos, execução de comandos, transferência de arquivos e acesso a informações do sistema. A arquitetura WebSocket para comunicação C2 facilita o bypass de firewalls que permitem tráfego web. O SparkRAT foi documentado em uso por atores norte-coreanos, incluindo o subgrupo Kimsuky do Lazarus Group, em campanhas de espionagem contra alvos sul-coreanos e organizações de criptomoedas. A disponibilidade pública do código-fonte significa que qualquer ator pode customizar e redeploy a ferramenta, tornando atribuição difícil. > [!latam] Relevância para o Brasil e LATAM > RATs open-source como o SparkRAT são frequentemente adotados por grupos de cibercrime regionais devido ao baixo custo de entrada. O Brasil, com um ecossistema ativo de cibercrime focado em fraude financeira e roubo de credenciais, pode ver adoção do SparkRAT em campanhas locais. A capacidade macOS é especialmente relevante dado o crescimento do uso de MacBooks em empresas brasileiras de tecnologia e finanças. ## Técnicas Utilizadas | Tática | ID | Técnica | |--------|-----|---------| | Execution | [[t1059-command-and-scripting-interpreter\|T1059]] | Execução de comandos remotos via shell | | C2 | [[t1105-ingress-tool-transfer\|T1105]] | Download e upload de arquivos via C2 | | Lateral Movement | [[t1021-remote-services\|T1021]] | Acesso remoto a sistemas | | Collection | [[t1113-screen-capture\|T1113]] | Captura de tela em tempo real | ## Detecção - Monitorar conexões WebSocket de longa duração a endpoints externos não reconhecidos - Detectar processos Go compilados executando em locais incomuns - Alertar para acesso a APIs de captura de tela por processos não autorizados - Usar regras YARA para assinaturas de binários SparkRAT compilados ## Referências - [GitHub - SparkRAT Repository](https://github.com/XZB-1248/Spark) - [AhnLab ASEC - SparkRAT in North Korean Campaigns (2023)](https://asec.ahnlab.com/en/48185/)