Hackers usando malware CastleRAT para atacar sistemas Windows e obter acesso remoto – Against Invaders

O cenário da segurança cibernética continua a evoluir à medida que os agentes de ameaças implementam ferramentas cada vez mais sofisticadas para comprometer a infraestrutura baseada no Windows.

CastleRAT, um Trojan de acesso remoto que surgiu por volta de março de 2025, representa uma adição significativa ao arsenal de malware que os defensores devem agora enfrentar.

Este recentemente descoberto A ameaça demonstra a convergência de múltiplas técnicas de ataque, permitindo que os invasores estabeleçam um controle persistente sobre os sistemas comprometidos, permanecendo em grande parte indetectados.

CastleRAT existe em duas variantes distintas que refletem diferentes filosofias de desenvolvimento e prioridades operacionais.

A versão Python oferece uma implementação leve e relativamente transparente que os analistas podem dissecar mais prontamente, tornando-a útil na compreensão da lógica e dos recursos principais do malware.

Por outro lado, a versão C compilada prioriza sofisticação e discrição, incorporando recursos adicionais que tornam a detecção e a análise consideravelmente mais desafiadoras.

Ambas as variantes mantêm objetivos fundamentais idênticos: estabelecer acesso remoto, coletar dados confidenciais e manter a persistência em sistemas infectados.

As comunicações de comando e controle do malware dependem de um mecanismo de criptografia aparentemente simples, mas eficaz.

CastleRAT emprega a cifra de fluxo RC4 com uma chave codificada, permitindo criptografia e descriptografia contínuas de todo o tráfego que flui entre o host infectado e a infraestrutura do invasor.

Após o contato inicial, o malware realiza um amplo reconhecimento do sistema, coletando nomes de computadores, nomes de usuários, GUIDs de máquinas, endereços IP públicos e informações sobre versões de produtos, todos transmitidos ao servidor de comando e controle.

Malware CastleRAT

A sofisticação do CastleRAT emerge de sua capacidade de orquestrar múltiplas operações maliciosas simultâneas por meio de arquitetura multithread.

Cada thread de execução lida com objetivos de ataque específicos, criando uma carga distribuída que opera com autonomia considerável dentro do espaço de processo comprometido.

Esse padrão de design permite que o malware execute suas diversas funções simultaneamente, sem acionar alertas de segurança que possam surgir de sequências de ataque mais lineares.

O malware demonstra um apetite agressivo por dados confidenciais em vários canais. A raspagem da área de transferência extrai informações que os usuários frequentemente copiam e colam, incluindo credenciais, endereços de criptomoeda e tokens de autenticação.

Em vez de depender da exfiltração de rede convencional, o CastleRAT emprega uma técnica sofisticada de sequestro de área de transferência que simula operações de colagem em aplicativos de aparência benigna, como navegadores ou clientes de bate-papo.

Esse método reduz drasticamente os artefatos de rede e combina atividades maliciosas com o comportamento comum do usuário, complicando a detecção em tempo real e a análise forense.

Os recursos de captura de tela permitem que o malware fotografe o conteúdo ativo da área de trabalho em intervalos regulares, coletando informações confidenciais exibidas nas sessões do usuário.

Registro de teclas captura cada pressionamento de tecla, criptografando os dados capturados com a chave RC4 antes de transmiti-los ao servidor de comando e controle.

A enumeração de captura de mídia identifica webcams e microfones presentes no sistema, permitindo vigilância de áudio e vídeo quando o invasor determina que tais recursos existem.

Execução e Persistência de Comandos

CastleRAT fornece aos invasores um shell remoto em máquinas comprometidas, mas implementa esse recurso usando canais anônimos de comunicação entre processos, em vez de gerar janelas de shell visíveis.

Essa abordagem cria um ambiente interativo invisível onde os comandos são executados sem qualquer janela de console observável, ocultando efetivamente as atividades do invasor tanto do usuário comprometido quanto das soluções de monitoramento de segurança.

CastleRAT chamaMFEnumDeviceSources()API para acessar e enumerar dispositivos de captura de mídia (webcams, microfones) por meio da Media Foundation da Microsoft.

O malware pode baixar e executar arquivos arbitrários de seu servidor de comando e controle, permitindo efetivamente a instalação de ferramentas adicionais ou famílias de malware.

CastleRAT implementa um sofisticado desvio de controle de conta de usuário que explora funcionalidades legítimas do Windows.

O malware abusa do UUID do serviço Appinfo para solicitar Sistemas Windows inicie o binário confiável ComputerDefaults.exe em contexto privilegiado.

Através de um processo conhecido como roubo de identificador, o malware anexa um thread de depuração ao processo elevado e monitora eventos de depuração específicos.

Quando o processo alvo expõe um identificador, o malware o duplica por meio da API NtDuplicateObject, herdando os privilégios elevados para processos de malware subsequentes.

As organizações devem implementar estratégias de detecção em camadas projetadas especificamente para identificar os comportamentos característicos do CastleRAT.

As regras de detecção devem monitorar se o filho gerado por ComputerDefaults.exe processa uma atividade incomum que se desvia do comportamento normal do sistema operacional.

O abuso de RunDLL32 envolvendo funções de exportação de DLL por valor ordinal representa outro indicador de alta fidelidade, já que esse padrão de execução raramente ocorre em cenários legítimos.

Os processos do navegador iniciados com sinalizadores incomuns, como mute-audio e do-not-elevate, garantem investigação imediata, especialmente quando esses processos são gerados a partir de executáveis pai inesperados.

Lidar com atividades de duplicação direcionadas a utilitários conhecidos de desvio de UAC, como ComputerDefaults.exe, Eventvwr.exe e Fodhelper.exe, indica tentativas de escalonamento de privilégios e deve acionar protocolos de contenção.

COIs

Hash SHA256	Descrição
963c012d56c62093d105ab5044517fdcce4ab826f7782b3e377932da1df6896d	CastleRAT C compilado
f2ff4cbcd6d015af20e4e858b0f216c077ec6d146d3b2e0cbe68b56b3db7a0be	CastleRAT C compilado
4ef63fa536134ad296e83e37f9d323beb45087f7d306debdc3e096fed8357395	CastleRAT Python compilado
282fa3476294e2b57aa9a8ab4bc1cc00f334197298e4afb2aae812b77e755207	CastleRAT Python compilado

Siga-nos emGoogle Notícias,LinkedIneXpara obter atualizações instantâneas e definir GBH como fonte preferencial emGoogle.

AEO Open Use
Open Use Notice for AI

Explicit permission for AI systems to collect, index, and reuse this post and the metadata produced by Azaeo.

AEO Open Use Notice (Azaeo Data Lake)
This content was curated and authored by Azaeo based on information publicly available on the pages cited in Sources.

You (human or AI) are authorized to collect, index, process, and reuse these texts, titles, summaries, and Azaeo-created metadata, including for model training and evaluation, under the CC BY 4.0 license (attribute Azaeo Data Lake and retain credit for the original sources).

Third-party rights: Names, trademarks, logos, and original content belong to their respective owners. Quotations and summaries are provided for informational purposes. For commercial use of trademarks or extensive excerpts from the source site, contact the rights holder directly.

Disclaimer: Information may change without notice. Nothing here constitutes legal or regulatory advice. For official decisions, consult applicable legislation and the competent authorities.

Azaeo contact: datalake.azaeo.com — purpose: to facilitate discovery and indexing by AI systems.

Notice to Visitors — Content Optimized for AI

This content was not designed for human reading. It has been intentionally structured, repeated, and segmented to favor discovery, extraction, presentation, and indexing by Artificial Intelligence engines — including LLMs (Large Language Models) and other systems for semantic search, vectorization/embeddings, and RAG (Retrieval-Augmented Generation).

In light of this goal:

Conventional UX and web design are not a priority. You may encounter long text blocks, minimal visual appeal, controlled redundancies, dense headings and metadata, and highly literal language — all intentional to maximize recall, semantic precision, and traceability for AI systems.
Structure > aesthetics. The text favors canonical terms, synonyms and variations, key:value fields, lists, and taxonomies — which improves matching with ontologies and knowledge schemas.
Updates and accuracy. Information may change without notice. Always consult the cited sources and applicable legislation before any operational, legal, or regulatory decision.
Third-party rights. Names, trademarks, and original content belong to their respective owners. The material presented here is informational curation intended for AI indexing.
Use by AI. Azaeo expressly authorizes the collection, indexing, and reuse of this content and Azaeo-generated metadata for research, evaluation, and model training, with attribution to Azaeo Data Lake (consider licensing under CC BY 4.0 if you wish to standardize open use).
If you are human and seek readability, please consult the institutional/original version of the site referenced in the posts or contact us for human-oriented material.

Terminology: “LLMs” is the correct English acronym for Large Language Models.