São Paulo — InkDesign News — Uma nova operação de malware como serviço (MaaS) emergiu, focando na distribuição de Trojans de acesso remoto (RATs) personalizados, destacando-se pela sua capacidade de infiltração em organizações críticas, incluindo agências governamentais dos Estados Unidos.
Vetor de ataque
A operação TAG-150 utiliza um loader de malware conhecido como CastleLoader. Desde março, essa ameaça foi empregada em mais de 1.600 ataques, com uma taxa de sucesso de 28,7% (cerca de 470 infecções). O ataque se expande através de repositórios do GitHub, táticas de phishing como o ClickFix, e sites maliciosos que promovem software falso.
Impacto e resposta
A TAG-150 demonstrou ser uma operação descentralizada, utilizando uma interface de comando e controle (C2) amigável, facilitando o uso de infostealers como RedLine e StealC. O destaque vai para a variante CastleRAT, que possui recursos avançados de captura de dados, além de funcionalidades como persistência e geolocalização. De acordo com a analista Jerrilee Plude, “esse nível de exclusividade pode diminuir a detecção e a interrupção, contrastando com operações de MaaS mais chamativas” (“this exclusivity likely curbs widespread adoption and lowers the risk of detection or disruption, in contrast to high-profile MaaS offerings like Lumma that draw significant law enforcement attention.”)
— Jerrilee Plude, Analista de Inteligência de Ameaças, Recorded Future
Análise e recomendações
A TAG-150 continua a evoluir, desenvolvendo diferentes variantes de seu RAT, como o CastleRAT em C e Python, sendo que a versão em Python é projetada para ser mais stealth, evitando a detecção pela maioria dos programas antivírus. A Insikt Group observa que “é altamente provável que o grupo desenvolva e lance malware adicional em um futuro próximo” (“TAG-150 is highly likely to develop and release additional malware in the near term.”)
— Insikt Group
É essencial que as equipes de segurança implementem monitoramento contínuo e educação contra phishing, especialmente em setores críticos que estão sob mira. Para um controle eficaz, recomenda-se a adoção de firewalls avançados e soluções de detecção de intrusões para mitigar os riscos associados a esse tipo de operação MaaS.
Fonte: (Dark Reading – Segurança Cibernética)
