Quaverse RAT: Remote-Access-as-a-Service com Utilização de Método "Russian-doll"

RAT Quaverse ou QRAT é uma ferramenta relativamente nova de acesso remoto (RAT), que foi introduzida em maio de 2015. Este RAT é comercializado como um RAT Java indetectável. E como as pessoas podem muito bem esperar de um RAT, a ferramenta é capaz de roubar senhas, registros de chave e procurar arquivos no computador da vítima. Em uma base regular para os últimos meses, foi possível observar a inclusão de QRAT em uma série de campanhas de spam. Abaixo, você verá um exemplo de uma mensagem de spam que alegou ser um "Limited Purchase Order" (LPO). Anexado a ele estava um anexo com extensão .zip, que contém um arquivo executável .JAR.




Analisando, QRAT é um cavalo de tróia de acesso remoto baseado em Java, ou um RAT que foi projetado para funcionar apenas em ambientes Windows com Java-runtime instalado. Para evitar ser detectado por programas antivírus, ele usa um método "Russian-doll" com 2 camadas de criptografia Java. O nome da técnica, de certa forma, lembra as bonecas russas "matrioskas", que são colocadas umas dentro das outras, como se estivessem se protegendo ou camuflando. Nesse caso, o exemplo das dolls foi usado para melhor exemplificar a criptografia utilizada, no sentido de evitar a detecção e possível identificação da praga em questão.


Saiba Mais:

[1] Trustwave https://www.trustwave.com/Resources/...OMXA3E.twitter