Um novo implante malicioso, batizado de RoadK1ll, está a permitir que piratas informáticos se movimentem de forma silenciosa entre computadores comprometidos e outros sistemas vitais nas infraestruturas das empresas. De acordo com os investigadores de segurança da Blackpoint, este malware desenvolvido em Node.js comunica através de um protocolo WebSocket personalizado, desenhado especificamente para prolongar o acesso do atacante e facilitar operações de exploração de forma totalmente oculta.
Como funciona a invasão invisível das redes
Os especialistas descrevem o RoadK1ll como uma ferramenta leve de tunelamento reverso, concebida para se misturar de forma natural com o tráfego regular da rede. A sua principal função é transformar uma máquina já infetada num ponto de retransmissão controlável. Através deste acesso amplificado, os criminosos conseguem saltar para serviços internos e segmentos da rede que, de outra forma, estariam inacessíveis a partir do exterior do perímetro de defesa.
Ao contrário de outras ameaças que ficam à espera de uma ligação externa, o RoadK1ll estabelece de imediato uma ligação WebSocket de saída para a infraestrutura controlada pelo atacante. Este método permite retransmitir tráfego TCP a pedido e contornar as proteções de fronteira com enorme eficácia, uma vez que as ligações herdam a confiança do computador comprometido. Além disso, a ferramenta suporta múltiplas ligações em simultâneo no mesmo túnel, facilitando o contacto com vários alvos ao mesmo tempo para extrair dados confidenciais ou alargar a infeção.
Comandos simples e foco na estabilidade
Para garantir a fluidez da operação, o código suporta um conjunto reduzido, mas direcionado, de comandos. O operador remoto pode usar a instrução CONNECT para iniciar uma ligação TCP a um alvo específico, DATA para reencaminhar o tráfego em bruto, CONNECTED para confirmar o sucesso do processo, CLOSE para terminar o acesso e ERROR para receber relatórios de falhas.
Curiosamente, a investigação nota que o RoadK1ll não utiliza os mecanismos de persistência tradicionais, prescindindo da alteração de chaves de registo ou da criação de tarefas agendadas no sistema. O implante opera apenas enquanto o seu processo se mantiver ativo. No entanto, compensa esta ausência com um mecanismo de religação automática: se a comunicação for interrompida, o sistema tenta restaurar o túnel WebSocket instantaneamente. Esta abordagem moderna permite aos atacantes manterem um acesso prolongado e flexível, reduzindo ao mínimo o ruído digital que costuma acionar os alarmes das defesas corporativas.
Nenhum comentário
Seja o primeiro!