Informações sobre ameaças

Por dentro de uma infraestrutura maliciosa que distribui o EtherRAT, páginas de phishing e software malicioso 

por Gabriele Orini | 15 de junho de 2026
Por dentro de uma infraestrutura maliciosa que distribui o EtherRAT, páginas de phishing e software malicioso 
Adicionar como fonte preferencial no Google

Durante nossas recentes atividades de detecção de ameaças, descobrimos que o malware EtherRAT estava sendo distribuído por um site com uma página inicial suspeita. Essa página inicial nos permitiu descobrir uma vasta infraestrutura maliciosa dedicada à distribuição de malware, documentos maliciosos, software de acesso remoto e páginas de phishing. 

O EtherRAT é um RAT desenvolvido em Node.js que permite que um invasor obtenha controle total sobre a máquina e execute código arbitrário fornecido pelo servidor de comando e controle (C2). O malware utiliza a blockchain Ethereum para acessar o servidor C2, daí a parte “Ether” do nome. O EtherRAT é normalmente distribuído por meio de scripts MSI, PowerShell ou JavaScript. 

Um diretório aberto que distribui o EtherRAT: onde tudo começou 

Durante a busca por ameaças, encontramos um diretório aberto que distribuía instaladores MSI e scripts do PowerShell, os quais, por sua vez, distribuíam o EtherRAT. Nos casos analisados, os scripts do PowerShell e os instaladores MSI eram distribuídos a partir de uma pasta chamada “/install”. As versões apresentam uma numeração progressiva, variando da v1 à v10. 

Figura 1: Open Directory hospedando o MSI do EtherRAT 
Open Directory hospeda o EtherRAT MSI 

A página inicial exibida chamou nossa atenção e nos levou a explorar mais a fundo a campanha. 

A página inicial exibida pelo site de distribuição do EtherRAT 

Ao analisar os domínios e os endereços IP associados à distribuição EtherRAT, detectamos outras páginas iniciais semelhantes com um tema relacionado a hacking. Elas pareciam pertencer a uma cadeia de distribuição mais ampla, que também distribui phishing, software de controle remoto e outros tipos de malware. Esses sites geralmente contêm várias pastas com conteúdo relacionado a malware e phishing, e o que é exibido depende da cadeia de infecção específica. 

Vários sites que apontam para os mesmos endereços IP já exibiram, anteriormente, páginas relacionadas a empresas falsas ou modelos padrão. O uso dessas novas páginas poderia, portanto, ser uma forma de dificultar a detecção por scanners automatizados ou pesquisadores. Aqui estão algumas das páginas iniciais que encontramos:

Alguns dos sites maliciosos indexados no Google 

O EtherRAT é um RAT interessante, pois possui poucas linhas de código e permite a execução de código arbitrário retornado pelo servidor C2. Além disso, o uso da blockchain do Ethereum para acessar o servidor C2 torna-o mais resistente a interrupções na infraestrutura. 

Análise técnica do EtherRAT 

Os sites detectados geralmente distribuem um arquivo MSI ou um script do PowerShell com o nome da versão, como v1.msi, v2.ps1 e assim por diante. 

MSI Loader 

O arquivo MSI “v9.msi” contém três componentes: 

Nome do arquivo MSI Descrição 
KmPuGimn.cmd Lançador BAT 
cDQMlQAru0.xml Primeiro carregador de JScript 
MRaQCipBIZeiZNx.log EtherRAT criptografado 

Quando o MSI é executado, o arquivo “KmPuGimn.cmd” é iniciado: 

conhost --headless cmd /c "KmPuGimn.cmd" 

Este arquivo BAT ofuscado realiza diversas operações: 

  • Extraia os outros arquivos para uma pasta aleatória em %LOCALAPPDATA%. 
  • É reexecutado por meio de: 
    • %SystemRoot%\System32\conhost.exe –headless %SystemRoot%\System32\cmd.exe /c call “C:\Users\{user}\AppData\Local\{random_path}\KmPuGimn.cmd” nKWa 
  • Execute o comando “where node” para localizar uma instalação existente. 
  • Baixa o Node.js caso não seja encontrado 
    • Utiliza o comando “curl -sLo” para baixar o Node.js do site oficial. 
    • Descompacta no diretório de instalação usando o comando “tar -xf”. 
    • Renomeia o diretório extraído para “28Q75h”.
  • Repete o processo até que tanto o arquivo “MRaQCipBIZeiZNx.log” quanto o arquivo “cDQMlQAru0.xml” existam e, em seguida, executa: 
    • conhost.exe –headless C:\Users\{user}\AppData\Local\{random_path}\{random_path}\node.exe cDQMlQAru0.xml 

O arquivo “cDQMlQAru0.xml” executado é um carregador que descriptografa o código incorporado por meio de uma função XOR e, em seguida, o executa com “vm.compileFunction”. 

decrypted[i] = (encrypted[i] - key[i % key.length] - i) & 0xFF 
O código descriptografado incorporado 

O código descriptografado: 

  • Copies node.exe in “C:\Users\{user}\AppData\Local\{random_path}\{random_path}\_MJlLlt5.exe”. 
  • Adiciona uma chave do Registro para garantir a persistência com o comando “conhost.exe –headless”. 
  • Descriptografa o arquivo “MRaQCipBIZeiZNx.log” e o executa usando o “_MJlLlt5.exe” como entrada padrão. 

O algoritmo de descriptografia é um esquema de decodificação personalizado do tipo fluxo, baseado em XOR, rotações de bytes e um acumulador: 

for e in range(len(data)): 
    byte = data[e] 
    g = prev 
    prev = byte 
    byte = (byte - g) & 0xff 
    byte = byte ^ n[e % len(n)] ^ ((e >> 8) & 0xff) 
    byte = si[byte] 
    byte = (byte - k[e % len(k)]) & 0xff
    result[e] = byte 

A etapa final consiste em implantar o EtherRAT. O EtherRAT permite que o invasor: 

  • Executar código JavaScript arbitrário recebido pelo servidor C2. Isso permite que o invasor execute novos comandos, realize operações em arquivos e pastas, modifique o Registro e extraia dados. 
  • Obtenha um novo servidor C2 utilizando a blockchain do Ethereum. 
  • Reofuscar a si mesmo. 
  • Salve os registros no arquivo “svchost.log”. 
Parte do código descriptografado do EtherRAT 

O EtherRAT utiliza o método JSON-RPC “eth_call” da Ethereum para recuperar a URL C2 ativa a partir de um contrato inteligente na rede principal da Ethereum.  

Os parâmetros da blockchain, neste caso, são: 

  • Contrato: 0x88ea8d0bc4146f0a018e989df3fd089ac48f9a58 
  • Seletor de função: 0x7d434425 
  • Argumento: 0xf6a772e163e64b07f658946f863b5d457d88f9f0 
O C2 decodificado da blockchain do Ethereum 

Os URLs acessados para obter o endereço do servidor C2 são: 

  • mainnet[.]gateway[.]tenderly[.]co 
  • rpc[.]flashbots[.]net/fast 
  • rpc[.]mevblocker[.]io 
  • eth-mainnet[.]public[.]blastapi[.]io 
  • ethereum-rpc[.]publicnode[.]com 
  • eth[.]drpc[.]org 
  • eth[.]merkle[.]io 

As solicitações de sondagem utilizam padrões de URL aleatórios com base em alguns parâmetros definidos no código: 

GET /api/<4-byte-hex>/<victim-uuid>/<4-byte-hex>.<ext>?<param>=<build-id> 
X-Bot-Server: <c2_url> 

Na amostra analisada, os parâmetros são: 

  • ID da compilação: “6f816d80-0d6c-4384-9cd6-6b79965fc08f” 
  • ext: selecionado aleatoriamente entre “png”, “jpg”, “gif”, “css”, “ico” e “webp”. 
  • param: selecionado aleatoriamente entre “id”, “token”, “key”, “b”, “q”, “s”, “v”. 

Após a inicialização, o RAT envia seu próprio código-fonte para o servidor C2. O servidor C2 responde com uma versão recém-ofuscada do script, que é gravada de volta no disco, fazendo com que cada execução gere um novo hash do arquivo. 

POST /api/[REOBF_PATH]/<victim-uuid> 
Body: { "code": "<current_script_contents>", "build": "<build_id>" } 

Após a execução do EtherRAT, observamos diversas atividades do cmd.exe após a invasão, destinadas a verificar o ambiente. Por exemplo: 

  • powershell -NoProfile -NonInteractive -WindowStyle Hidden -Command “(Get-WmiObject Win32_VideoController).Name”
  • reg query “HKLM\SOFTWARE\Microsoft\Cryptography” /v MachineGuid 
  • powershell -NoProfile -NonInteractive -WindowStyle Hidden -Command “(Get-WmiObject Win32_ComputerSystem).Domain” 
  • powershell -NoProfile -NonInteractive -WindowStyle Hidden -Command “(Get-WmiObject Win32_ComputerSystem).PartOfDomain” 
  • cmd.exe /d /s /c “net session” 
Registros do EtherRAT 

Carregador do PowerShell 

As atividades realizadas pelos carregadores do PowerShell são muito semelhantes à última etapa do script JS do instalador MSI: 

  • Baixa o Node.js caso ele não esteja instalado. 
  • Crie os diretórios necessários. 
  • Decodifique o EtherRAT com um algoritmo de descriptografia personalizado. 
  • Execute o Node.js com o conhost.exe e a carga útil EtherRAT descriptografada. 

Detectamos algumas variantes do carregador do PowerShell hospedadas nesses sites; mais especificamente, observamos que os nomes das funções e as funções de descriptografia variam nos scripts do PowerShell analisados. 

A descriptografia da carga útil do EtherRAT com o algoritmo de descriptografia personalizado 

Rastreamento da infraestrutura maliciosa 

Ao analisarmos os diferentes sites com páginas sobre o tema “hacking”, descobrimos que, no passado, muitos deles haviam hospedado várias páginas de phishing em determinados diretórios. Por exemplo: 

  • /zht/sharep-redirect.html 
  • /bl/me.php 
  • /t/equipes 
  • Windows.php 

Parece que esses domínios e endereços IP fazem, na verdade, parte de uma infraestrutura muito maior que distribui malware, phishing, documentos maliciosos e software de controle remoto. É possível que essas infraestruturas sejam compartilhadas por vários agentes maliciosos, que ativam diferentes endpoints de URL de acordo com a campanha específica. 

Curiosamente, a maioria dos domínios relacionados a essa infraestrutura maliciosa no passado também exibia uma página HTML relacionada a um serviço chamado “Bulletproof Infrastructure”.  

Constatamos que essas campanhas de phishing geralmente começam por meio de e-mails com documentos anexados, como arquivos PDF ou Excel. Esses documentos solicitam que o usuário clique em um link para visualizar outro documento. Abaixo estão dois exemplos dos documentos de phishing anexados aos e-mails:

Essas páginas de phishing geralmente solicitam que o usuário insira seu endereço de e-mail, para depois dar continuidade à cadeia de infecção e distribuir páginas de phishing ou malware. Abaixo estão algumas das páginas de phishing detectadas na infraestrutura maliciosa:

Erros de configuração expuseram os kits de phishing 

Ao rastrear sites maliciosos, encontramos um com um diretório aberto contendo parte do kit de phishing utilizado nas campanhas. 

Hospedagem de diretórios abertos como parte de kits de phishing

 

O diretório aberto continha várias pastas com código e páginas relacionadas às campanhas de phishing. 

Código do kit de phishing 

Além disso, alguns domínios estavam mal configurados e permitiam o download do arquivo “cl.zip”, que continha o código-fonte das páginas do “URL Cloaker”. 

Parte do código do “URL Cloaker” 

Indicadores de Compromisso (IOCs)  

IPs 

82.165.65.244: infraestrutura maliciosa  

185.221.216.121: infraestrutura maliciosa  

43[.]163[.]233[.]166: infraestrutura maliciosa  

40.160.238.30: infraestrutura maliciosa  

159.89.227.204: infraestrutura maliciosa  

57[.]128[.]31[.]168: infraestrutura maliciosa  

Domínios 

ivorilla[.]cloud: Distribuição do EtherRAT  

mx[.]nrlwz[.]com: Distribuição do EtherRAT  

dn[.]eyqwj[.]com: Distribuição do EtherRAT  

bi[.]mkrjcsw[.]com: Distribuição do EtherRAT  

dorqen[.]casa: Distribuição do EtherRAT  

kelvra[.]club: Distribuição do EtherRAT  

cambioefectivo[.]com: EtherRAT C2  

vabelles[.]com: EtherRAT C2  

tranzed[.]org: EtherRAT C2  

kibrisarazi[.]com: EtherRAT C2  

aravisblog[.]com: EtherRAT C2  

publicspeakingtip[.]org: EtherRAT C2  

Agradecimentoss 

Impedir que as ameaças causem qualquer dano.

Browser Guard Malwarebytes Browser Guard páginas de phishing e sites maliciosos automaticamente. É gratuito e se instala com um clique. Adicione-o ao seu navegador →

Sobre o autor

Gabriele Orini

Gabriele é um engenheiro de pesquisa de malware que adora combater malware. Quando não está fazendo isso, você o encontrará curtindo a natureza, a arte e os animais.

ÚLTIMOS ARTIGOS

IA
Logotipo Claude

Claude Fable 5 e Mythos 5 foram “desativados repentinamente” após proibição do governo dos EUA

Junho 15, 2026

A Anthropic recebeu uma ordem do governo dos EUA para suspender seus modelos mais recentes, o Claude Fable 5 e o Mythos 5, por receio de uso indevido.

Podcast
Um cadeado ilustrado é montado em um suporte de microfone com ondas sonoras emitidas pelo dispositivo.

Sites Deepfake estão saindo do ar (reprise) (Lock and Code, 7ª temporada, episódio 12)

Junho 15, 2026

Nesta semana, no podcast Lock and Code, revisitamos um episódio de 2024 com David Chiu que mostra os avanços alcançados no combate deepfake .

Notícias
semana em segurança

Uma semana no setor de segurança ( 8 de junho – 14 de junho)

Junho 15, 2026

Uma lista dos assuntos que abordamos na semana de 8 a 14 de junho de 2026

Adicionar como fonte preferencial no Google

Artigos relacionados

Ícone dos colaboradores

Contribuintes

Ícone da Central de Ameaças

Centro de Ameaças

Ícone de podcasts

Podcast

Ícone do glossário

Glossário

Ícone de golpes

Golpes