Trojan:Win32/Casdet!RFN é uma detecção que indica a possível presença de malware em seu sistema. Os usuários podem encontrar essa detecção após usar software pirata ou abrir anexos de e-mail suspeitos. Em certos casos, Casdet pode ser uma detecção de falso positivo.
Casdet é uma ameaça grave usada principalmente para reconhecimento e entrega outras cargas úteis para o dispositivo. Ele também coleta alguns dados sobre o sistema, mas pode ser modificado para diferentes tarefas, como roubo direto de informações.
Trojan:Win32/Casdet!Visão geral do RFN
Trojan:Win32/Casdet!rfn é uma detecção que o Microsoft Defender usa principalmente para trojans de acesso remoto (RATs). Tal malware, como o próprio nome indica, fornece acesso remoto e é frequentemente usado para reconhecimento e distribuição de outros malwares. Casdet geralmente não coleta muitas informações, mas a carga útil que ele carrega é o que causa mais danos. Além disso, Casdet possui uma estrutura modular, o que permite conectar dinamicamente os módulos necessários e atuar como um ladrão de informações, por exemplo.
Trojan:Win32/Casdet!rfn geralmente é espalhado via e-mails de phishing e software crackeado, espalhar através de redes p2p. Raramente, porém, pode resultar em um falso positivo, marcando um arquivo legítimo como malicioso. Alguns usuários reclamaram do Trojan:Win32/Casdet!detecção de rfn após baixar e instalar um emulador Android legítimo, e-books, ou mods de jogo. Vamos dar uma olhada detalhada em como esse malware funciona.
Análise detalhada
Primeiro, vamos lembrar como a Remote Access Trojan (RAT) funciona. Em geral, Os RATs coletam dados confidenciais e podem ser usados para diversos fins, Incluindo espionagem e controle remoto de dispositivos comprometidos. No entanto, Cassete!rfn em geral e o exemplo que eu estava analisando funciona principalmente como um downloader de malware. Vamos detalhar suas ações passo a passo.
Acesso Inicial
A amostra do Trojan Casdet escolhido para este teste foi chegar ao dispositivo da vítima através phishing emails. Em alguns casos raros, hackers estavam escolhendo uma vítima e direcionando os e-mails para esta pessoa específica. Ameaça, ou seu carregador geralmente fica oculto no arquivo anexado. O corpo da mensagem ao mesmo tempo motiva a vítima a executar o anexo, acalmando a vigilância.
Execução, Evasão de Detecção & Impressão digital
Trojan:Win32/Casdet!rfn emprega várias técnicas para evitar a detecção por sistemas de segurança. Essas técnicas incluem obfuscation e verifica máquinas virtuais ou depuradores. Este último é feito listando os processos e verificando as chaves de registro que podem conter informações sobre o ambiente. Evasão de detecção, por outro lado, depende principalmente de embalagem e ofuscação; o único truque que o malware usa durante a execução é inativo por vários minutos no início.
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartPage2\ProgramsCache
Adicionalmente, ele realiza a chamada cerca geográfica por meio de verificando os pacotes de idiomas instalado no sistema. Essa é uma tática bastante comum para diferentes famílias de malware, enquanto os desenvolvedores tentam evitar atacar qualquer coisa de seu próprio país. Abaixo, você pode ver as chaves de registro específicas que ele verifica para isso.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\LanguagePack
HKCU\Software\Classes\Local Settings\MuiCache\130\52C64B7E\LanguageList
Quando o malware se infiltra em um sistema, visa estabelecer persistência para garantir sua operação e controle contínuos. Ele abusa do WerFault através do comando que colei abaixo para ganhar persistência e privilégios de execução adicionais. Isso permite que ele mantenha uma posição segura no sistema mesmo após reinicializações ou verificações de segurança.
C:\Windows\system32\WerFault.exe -u -p 3560 -s 216
Após essas operações, Casdet coleta informações básicas sobre o sistema. A impressão digital deste sistema serve to identify it and is unique to each system. Embora essas informações não contenham dados valiosos ou confidenciais, é uma impressão digital do sistema que é enviada para o C2.
- Versão do sistema operacional
- Nome de usuário
- CPU e GPU
- endereço de IP
- Tamanho de exibição
- Fornecedor de dispositivos
- Software instalado
- Informações de rede
C2 Comunicações
A forma como o malware Casdet se comunica com o servidor de comando não é nada especial. Carrega uma seleção de endereços IP em seu arquivo binário, e decodifica quando chegar a hora. Então, ele forma a solicitação HTTP POST, criptografa, e envia para o servidor de comando.
- 20.99.133.109:443
- 20.99.186.246:443
- 23.216.147.64:443
- 192.229.211.108:80
- 20.99.185.48:443
- 104.80.88.11:443
- 23.216.147.76:443
- 20.99.184.37:443
C2 em resposta enviará uma pequena bolha de informações que contém mais instruções para o malware. Entre eles estão o upload de um arquivo específico da máquina infectada, executando o comando, ou conectando-se ao servidor remoto para extrair a carga e executá-la. Todas as informações complementares vêm no mesmo pacote de resposta.
Carga útil
Em relação às cargas úteis, é aqui que o Trojan:Win32/Casdet!rfn brilha: ele pode implantar literalmente qualquer tipo de malware. Mas na maioria das vezes, Cassete entrega ransomware, spyware, conta-gotas e coisas semelhantes. Ele funciona a função DllMain de um arquivo DLL na pasta temporária do usuário usando o utilitário rundll32.exe. A função DllMain é chamada quando a DLL é carregada durante eventos do sistema como DLL_PROCESS_ATTACH e DLL_PROCESS_DETACH.
"C:\Windows\System32\rundll32.exe"
C:\Users\A4148~1.MON\AppData\Local\Temp\e8442b7f12ab7cb616c549181d39c10b.dll,DllMain
Ao mesmo tempo, Casdet possui uma estrutura modular, o que permite que ele atue de forma independente quando necessário. Este malware em particular foi capaz de obter a funcionalidade do infostealer ou estender suas funções de conta-gotas. Além do que é capaz por padrão, faz uma única amostra de Casdet capaz de realizar um ataque cibernético completo.
Como remover Trojan:Win32/Casdet!RFN?
Para remover Trojan:Win32/Casdet!RFN, Eu recomendo usando GridinSoft Anti-Malware. Este programa é resiliente à técnicas anti-detecção esse malware usa, graças ao seu sistema de detecção multicomponente. Execute uma verificação completa, deixe terminar e clique em “Limpar agora” para remover todos os elementos maliciosos. O programa também cuidará da segurança do seu sistema no futuro – experimente.